在 ACK 集群中,由于节点的动态扩缩容,导致IP地址频繁变动。通过 ACK 集群同步节点,自动同步 ACK 集群内节点 IP 地址到云防火墙地址簿,减少手动更新工作量,提高安全性。
使用须知
-
仅支持网络插件为 Terway 的 ACK 集群。如何查看网络插件类型,请参见容器网络FAQ。
-
由于同步节点需要获取集群内部 Pod 的信息,创建新的同步节点时,需要为云防火墙角色授予集群的RBAC权限。
支持的地域和可用区
公有云支持的地域和可用区
|
地域 |
地域ID |
可用区 |
|
西南1(成都) |
cn-chengdu |
可用区A、可用区B |
|
华南3(广州) |
cn-guangzhou |
可用区A、可用区B |
|
华南1(深圳) |
cn-shenzhen |
可用区D、可用区E、可用区F |
|
华北2(北京) |
cn-beijing |
可用区F、可用区G、可用区H、可用区I、可用区L |
|
华东2(上海) |
cn-shanghai |
可用区B、可用区G、可用区M、可用区N |
|
华东1(杭州) |
cn-hangzhou |
可用区H、可用区I、可用区J、可用区K |
|
华南2(河源) |
cn-heyuan |
可用区A、可用区B |
|
中国香港 |
cn-hongkong |
可用区B、可用区C |
|
新加坡 |
ap-southeast-1 |
可用区A、可用区B、可用区C |
金融云支持的地域和可用区
|
地域 |
地域ID |
可用区 |
|
华南1 金融云(深圳) |
cn-shenzhen-finance-1 |
可用区D、可用区E |
操作步骤
-
登录云防火墙控制台。在左侧导航栏,选择,页面中选择ACK集群页签,单击创建ACK集群同步节点弹出创建ACK集群同步节点页面。
-
按照页面说明,为云防火墙角色(AliyunServiceRoleForCloudFW)执行授权操作。点击链接或按钮均可前往授权页面。
重要-
同一个集群首次创建同步节点时,需要为云防火墙角色授予集群的至少为受限用户及以上的 RBAC 权限。
-
可以根据需求选择需要进行访问控制的命名空间或所有命名空间授权。
-
此授权步骤权限配置错误,会导致最后的健康检查不通过,致使节点创建失败。
-
关于授权的详细介绍,请参考使用RBAC为集群内资源操作授权。
成功授权后回到节点创建页面,点击已完成授权,进行下一步。
如授权出现问题,可以点击未授权,留在此页面。
-
-
填写同步节点信息以完成创建。
配置项
说明
同步节点名称
ACK 同步节点名称,建议输入有实际意义的名称,方便您有效识别并应用该同步节点。
说明长度最大为64位,且只能包含中文、英文大小写字母、数字以及符号 '._-'。
ACK集群类型
仅支持ACK托管集群。
ACK集群所属账号
选择要同步集群的所属账号。后续数据会根据选择加载。
说明移除成员账号、解绑等操作,ACK集群同步节点会被同步删除。
所属地域
选择集群所在地域。
集群
选择具体集群,如新建集群列表未显示,可尝试点击右侧的
图标。可用区与交换机
选择节点可用区和交换机。选择后会显示对应 IP 地址段。
说明-
如果对网络规划有严格要求,可为同步节点指定一个 IP 地址,不填则自动分配。
-
对灾备有需求,可配置两个可用区和交换机,如不需要,可点击右侧垃圾桶删除此行。
每行配置还可在右侧指定IP地址(可选填)。
同步周期
同步节点抓取集群内 Pod IP 地址信息的周期。最短为 10 秒。
-
-
同步节点信息填写完成后,单击完成,则开始自动检测、创建同步节点。
重要如授权云防火墙RBAC权限不符合要求,此步会创建失败。
其他操作
同步节点创建成功后,会在列表中显示。
同步节点实例列表包含同步节点实例ID/名称、专有网络、ACK集群所属账号、ACK集群ID/名称、创建时间、实例状态、健康状态和操作列。
操作:
-
详情:可查看同步节点配置详情。
-
修改:可修改同步节点信息。
说明当前版本仅支持修改同步节点名称和同步周期。如需修改其他,请删除后重新创建节点。
-
删除:可删除当前同步节点。
说明当同步节点已经被地址簿引用时,需要先删除地址簿,再删除同步节点。
状态:
-
实例状态:代表当前同步节点实例的状态。
-
健康状态:代表当前同步节点的工作状态。如不健康可以鼠标悬浮图标查看原因。如:当实例状态异常时,会显示具体错误信息(如"指定的ACK集群不存在。"),健康状态显示为不健康,单击不健康右侧的问号图标可查看详细原因。
使用:
同步节点成功创建后,可在 ACK 地址簿中引用。具体操作参见创建地址簿。