【通知】网络架构调整
2020年10月,阿里云Elasticsearch对网络架构进行了调整。2020年10月之前创建的实例为旧网络架构,2020年10月及之后创建的实例为新网络架构。调整内容和时间 调整内容 新网络架构下,阿里云ES实例部署在阿里云服务账号下的VPC中,不支持ES...
安全风险识别和检测
基础架构的风险识别和检测:云上基础架构包含了网络架构和身份体系,要评估和识别当前网络的架构设计方法,是否符合安全最小化原则和纵深防御原则;云平台配置风险识别和检测:企业使用云产品创建的配置文件是否符合安全原则,需要进行识别...
识别基础架构的安全风险
基础架构风险包含了网络架构风险、账号体系风险和工作负载架构风险。
基础架构风险分析
网络架构风险 和在IDC面临的风险一样,在云上需要设计网络架构,以便减小网络暴露面和因为网络架构设计不合理导致的网络攻击。网络架构的风险是指由于网络分段、资产暴露、DMZ区设计不合理导致的网络被任意用户访问、内部接口或地址可以被...
产品架构
比较早的解决方案,是将虚拟机的网络和物理网络融合在一起,形成一个扁平的网络架构,例如大二层网络。随着虚拟化网络规模的扩大,这种方案中的ARP欺骗、广播风暴、主机扫描等问题会越来越严重。为了解决这些问题,出现了各种网络隔离技术...
网络管理FAQ
如何查看Terway网络Pod生命周期?Terway DataPath V2数据面模式 Flannel相关 手动升级了Flannel镜像版本后,如何解决无法兼容1.16以上版本集群的问题?如何选择Kubernetes集群Terway和Flannel网络插件?为什么Pod无法ping通部分ECS节点?为...
基础架构安全实施最佳实践
网络架构设计最佳实践 阿里云基于大量的网络架构设计,结合不同行业业务特点和网络需求,提供网络架构设计的最佳实践。如企业级云上网络分区分域设计、云上同城/异地容灾网络设计、DMZ-VPC区域设计、VPC东西向流量隔离和管控设计、云上云下...
Kubernetes集群网络规划
在创建ACK Kubernetes集群时,您需要指定专有网络VPC、虚拟交换机、Pod网络CIDR(地址段)和Service CIDR(地址段)。因此建议您提前规划ECS地址、Kubernetes Pod地址和Service地址。本文将介绍阿里云专有网络VPC环境下ACK Kubernetes集群...
Kubernetes集群网络规划
在创建ACK Kubernetes集群时,您需要指定专有网络VPC、虚拟交换机、Pod网络CIDR(地址段)和Service CIDR(地址段)。因此建议您提前规划ECS地址、Kubernetes Pod地址和Service地址。本文将介绍阿里云专有网络VPC环境下ACK Kubernetes集群...
健康检查服务内容说明
阿里云网络专家团队结合丰富的云上实战经验和最佳实践,分析客户网络架构、配置参数和运行指标的有效程度,评估网络整体的运行效率、健壮性和安全性,指出当前网络架构存在的不足和隐患,针对存在的隐患或问题提供针对性的解决方案,满足...
Kubernetes集群使用Terway网络的IPvlan或Pod独占弹性...
问题描述 当前环境使用Terway网络的IPvlan或Pod独占弹性网卡模式时,出现如下问题:现象一:Pod内的程序无法解析域名。现象二:ECS可以访问公网但是Pod无法访问公网。现象三:无法获取集群内的监控数据。现象四:Pod内程序无法访问RDS实例...
容器网络FAQ
如何查看Terway网络Pod生命周期?Terway DataPath V2数据面模式 Flannel相关 手动升级了Flannel镜像版本后,如何解决无法兼容1.16以上版本集群的问题?如何选择Kubernetes集群Terway和Flannel网络插件?为什么Pod无法ping通部分ECS节点?为...
Pod演练场景
Kubernetes集群中Pod资源故障场景,包含删除Pod和Pod网络异常场景。每个Pod场景下都包含通用的Pod筛选参数,用于查找目标Pod。通用参数 参数名称 参数说明 Pod资源名称 Pod资源名称,多个资源名称之间使用逗号分隔,表示选择多个Pod。Pod...
使用Flannel网络插件
Flannel网络基于阿里云VPC的自定义路由能力,来实现跨节点的Pod直接与VPC的互相访问。本文介绍如何使用阿里云容器服务Kubernetes版ACK集群的Flannel网络插件。背景信息 Flannel网络模式中Pod的网段独立于VPC的网段。Pod网段会按照掩码...
Kubernetes集群网络规划
在创建ACS集群时,您需要指定专有网络VPC、虚拟交换机、Pod网络CIDR(地址段)和Service CIDR(地址段)。建议您提前规划ECS地址、Kubernetes Pod地址和Service地址。本文将介绍阿里云专有网络VPC环境下ACS集群里各种地址的作用,以及如何...
为Pod配置QoS
带宽限制 Terway网络插件支持对Pod网络带宽进行控制,您可以使用以下Pod Annotations指定Pod出、入方向的带宽:Annotation Mean kubernetes.io/ingress-bandwidth:10M Ingress bandwidth kubernetes.io/egress-bandwidth:10M Egress ...
配置集群安全组
Terway网络模式不添加安全组规则)最小范围 所有协议 53/53(DNS)集群内所有关联的vSwitch网段,包括Node vSwitch和Pod vSwitch 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)ICMP-1/-1(不限制...
Fluid监控大盘参数说明
文档介绍Fluid监控大盘变量和Panel的详细说明。...各Pod网络发送速率 表示在一个监控周期内,Fluid控制面各组件Pod网络数据包的发送速率。各Pod网络接收速率 表示在一个监控周期内,Fluid控制面各组件Pod网络数据包接收速率。
演练场景说明
Pod演练场景 Kubernetes集群中Pod资源故障场景,包含删除Pod和Pod网络异常场景。每个Pod场景下都包含通用的Pod筛选参数,用于查找目标Pod。Container演练场景 Kubernetes集群中Pod资源下的容器故障场景,目前包含删除容器以及容器内故障...
为Pod配置带宽限制
本文介绍Flannel网络插件下如何使用Kubernetes定义的Pod Annotations配置Pod出、入方向带宽限制。Flannel集群不会默认开启带宽限制功能,您可以根据本文开启该功能。前提条件 已创建使用Flannel网络插件的ACK托管版或专有版集群,具体操作...
查看Prometheus监控指标
EDAS支持Prometheus监控功能,您可以在监控仪表板查看Pod基本信息、CPU信息、内存信息和网络信息,还可以更改仪表板数据的时间区间、刷新频率等属性。功能入口 登录 EDAS控制台。在左侧导航栏,单击 应用管理>应用列表,在顶部菜单栏选择...
用云成本需求分析
云基础网络架构设计中涉及的云安全组,云防火墙,Anti-DDos 和应用安全产品也会增加成本。并且安全的监控和运营以应对复杂的安全环境也是安全的考虑因素。阿里云的云安全中心提供了良好的企业级安全监控和运营功能。日志的存储和安全的审计...
容器安全FAQ
Pod的网段地址(Pod网络CIDR)可在容器服务管理控制台集群详细信息页面,集群信息 区域查看。授权对象 的设置,可参见 安全组应用案例。入方向 授权对象 为Pod网络CIDR,且 协议类型 为 全部 的规则已添加。新增ECS实例的安全组与集群所在...
容器安全FAQ
Pod的网段地址(Pod网络CIDR)可在容器服务管理控制台集群详细信息页面,集群信息 区域查看。授权对象 的设置,可参见 安全组应用案例。入方向 授权对象 为Pod网络CIDR,且 协议类型 为 全部 的规则已添加。新增ECS实例的安全组与集群所在...
使用VPC附加网段扩充集群的虚拟交换机
关于如何把创建的附加网段中的虚拟交换机用于Pod网络,请参见 扩容Terway场景下的Pod虚拟交换机。扩容完成后:2023年2月15日之前创建的ACK标准版和ACK Pro托管版集群:需要 提交工单 联系技术支持 配置管控面,否则集群管控面将无法访问到...
使用Terway网络插件
节点最大Pod=节点容器网络Pod+主机网络Pod。在一个集群中,不支持terway-eni和terway-eniip组件共存。对于开启了IP双栈的集群,ECS实例提供的弹性网卡需支持同等数量的IPv4和IPv6地址,即EniPrivateIpAddressQuantity(IPv4地址数量)与...
使用Host网络
Pod使用Host网络即让Pod使用Node节点的网络空间和网络资源。将Pod的网络配置成Host网络后,Pod可以直接访问到Node上Loopback设备,可以在Node节点上监听地址,也可以用于监控Node上其他Pod的网络流量。本文介绍如何使用Host网络。前提条件 ...
为Pod配置固定IP及独立虚拟交换机、安全组
单节点所支持的Pod数量有限制,关于节点所支持容器网络Pod数量的详细描述,请参见 使用Terway网络插件。Pod安全组规则不会应用到同节点Pod之间的流量以及同节点上节点与Pod之间的流量。如果您需要限制,可以通过NetworkPolicy进行配置。...
网络安全保护
需要注意的是,网络分层是实施完善网络安全架构的基础,没有遵守此最佳实践会导致较高的安全风险。在各个层级实施网络访问控制 通过网络分层模型参考图可以看到,常见的跨层流量流向包括且不限于:互联网到VPC内资源流量互访(出向和入向)...
为Pod配置固定IP注解说明
ACS中支持为每个Pod配置固定IP、独立的虚拟交换机、安全组,能提供精细化流量管理、流量隔离、网络策略配置和IP管理能力。本文介绍了如何在ACS网络中为Pod配置固定IP及独立虚拟交换机、安全组。使用限制 ACS默认使用的Trunk ENI,暂不支持...
DNS策略配置和域名解析说明
如果您的应用Pod使用hostNetwork:true来配置网络,Pod中运行的应用程序可以直接看到宿主机的网络接口,其DNS策略默认为Default,不能访问集群内的服务。如果您希望在此网络模式下访问集群内服务,可使用 dnsPolicy:ClusterFirstWithHostNet...
Pod监控
本文说明如何查看Pod监控,从而了解应用的Pod情况,包括CPU、物理内存、网络流量、网络数据包等信息。应用限制 EDAS标准版不支持Pod监控,专业版和铂金版支持Pod监控。功能入口 登录 EDAS控制台。在左侧导航栏,单击 应用管理>应用列表,在...
ECI Pod概述
本文主要介绍弹性容器实例ECI Pod的使用准备工作、使用限制以及核心功能,包括安全隔离、CPU/Memory资源和规格配置、镜像拉取、存储、网络、日志收集等。前提条件 已创建ACK集群或 ACK Serverless集群,并已在集群中部署虚拟节点。详情请...
通过巡检工具问题排查
节点不正常 该Pod无法正常运行 kubectl describe pod查看详情 kubectl logs<pod_name>查看pod的日志 检查网络插件管控面是否正常 IaaS层网络配置错误问题 K8s容器网络能力无法使用;K8s的应用无法互相访问 根据巡检任务的输出,查看不健康...
常见问题
本文汇总了通过阿里云容器服务Kubernetes版使用ECI时的常见问题,包括ECI Pod、网络等问题。ECI Pod 如何创建GPU实例?如何查看ECI实例ID?使用了镜像缓存,为什么创建ECI Pod的速度还是很慢?创建ECI Pod后,Pod一直处于Pending状态怎么办...
DNS解析及缓存策略说明
参数 说明 Glibc中默认值 ECS DNSPolicy为ClusterFirst的Pod DNSPolicy为Default的Pod 注入了NodeLocal DNSCache的Pod DNSPolicy为Default且采用主机网络的Pod nameserver 解析域名时使用的DNS服务器 空 VPC DNS服务器 ② CoreDNS ...
DNS解析异常问题排查
索引 类别 内容 诊断流程 基本概念 异常诊断流程 常见客户端报错 排查思路 排查思路 常见排查方法 检查业务Pod的DNS配置 检查CoreDNS Pod运行状态 检查CoreDNS运行日志 检查CoreDNS DNS查询请求日志 检查CoreDNS Pod的网络连通性 检查业务...
DNS解析异常问题排查
索引 类别 内容 诊断流程 基本概念 异常诊断流程 常见客户端报错 排查思路 排查思路 常见排查方法 检查业务Pod的DNS配置 检查CoreDNS Pod运行状态 检查CoreDNS运行日志 检查CoreDNS DNS查询请求日志 检查CoreDNS Pod的网络连通性 检查业务...
监控与报警
网络接收数据量(Pod维度)指定Pod的网络接收数据量(MB)。网络发送数据量(Pod维度)指定Pod的网络发送数据量(MB)。GPU算力使用率(Pod维度)指定Pod的GPU算力使用率。GPU显存使用率(Pod维度)指定Pod的GPU显存使用率。GPU SM设备使用...
容器监控
网络数据包 网络数据包 区域显示该应用在指定时间段的Pod的网络数据包情况,包括以下指标:网络发送丢弃的报文数 网络发送的报文数 网络接收丢弃的报文数 网络发送的错误数 网络接收的错误数 可选:在 网络数据包 区域,您可以执行以下操作...
- 产品推荐
- 这些文档可能帮助您