您可以通过公网或内网访问API Server以连接ACK集群。除控制台外,您也可以使用命令行工具与集群API Server进行交互,包括Kubernetes命令行工具kubectl、浏览器命令行工具Workbench和CloudShell。
1、配置集群访问方式和访问控制策略
您可以通过内网或公网方式访问集群API Server,并设置相应的访问控制策略。
内网访问:创建 ACK 集群时,ACK会自动为API Server创建一个私有网络的 CLB 实例,以提供内网连接端点。同一VPC下的资源可进行连接。
公网访问:在自动创建的私网 CLB 实例的基础上,您可以绑定一个弹性公网 EIP,以实现通过公网访问API Server,请参见控制集群API Server的公网访问能力。
为避免API Server受到非法访问,建议对 CLB 实例的 6443 端口监听(Listener)配置访问控制策略。您可通过配置访问黑白名单来实现安全策略的管理,请参见配置集群API Server的访问控制策略。
2、管理集群KubeConfig
连接集群时,您需要获取集群的访问凭证KubeConfig,其中存储了Kubernetes客户端连接和认证集群所需的信息,支持公网和私网访问。ACK支持为不同阿里云账号、RAM用户或角色签发KubeConfig。建议优先使用临时的KubeConfig以降低安全风险,并谨慎维护KubeConfig的时效性。关于KubeConfig的获取、吊销、清除等操作指引,请参见管理KubeConfig。
3、选择连接集群的方式
您可以根据集群是否支持公网访问等因素来选择连接和管理集群的方式。
RAM用户连接集群前,除容器服务的系统权限外,还需要被授予集群操作的权限,请参见授权。
RAM用户访问控制台时,需配置对应的云服务权限才能正常使用,请参见容器服务控制台权限依赖。
命令行工具:除Kubernetes命令行工具kubectl外,阿里云提供了浏览器命令行工具Workbench和CloudShell。
工具
描述
本地安装①
内网访问
公网访问
文档链接
工具
描述
本地安装①
内网访问
公网访问
文档链接
标准的Kubernetes命令行管理工具。
需要①
支持
支持
阿里云提供的浏览器内的ECS实例远程连接工具,无需额外安装软件。
无需
支持
支持
阿里云提供的浏览器内的Shell工具,相当于自动创建的一台Linux虚拟机,其中预装了多种语言及命令行工具。
无需
不支持
支持
①:Workbench和CloudShell可直接在浏览器中使用,kubectl需本地安装(Worker节点已预装kubectl)。
相关文档
如果集群内部的服务需要访问外部公网资源,例如拉取公网镜像、更新依赖库等,您可以参见为集群开启访问公网的能力。
- 本页导读 (1)
- 1、配置集群访问方式和访问控制策略
- 2、管理集群KubeConfig
- 3、选择连接集群的方式
- 相关文档
