连接集群
连接集群
1. 集群访问方式
支持通过内网和公网连接集群,访问开启方式操作如下:
登录容器云服务控制台,选中需要连接的集群,点击进入集群详情页面;
在【集群API Server】中,通过开关按钮选择开启内网或外网访问;
- 内网访问:默认不开启。开启后系统会为API Server创建一个内网LoadBalancer实例;
- 公网访问:默认不开启。开启后系统会为API Server创建一个公网LoadBalancer实例,集群API Server会暴露到外网,可能会有一定风险,请谨慎操作;
点击对应的开关按钮后,在弹窗中点击【确认】完成公网或内网访问的开启。
2. 使用kubectl工具连接集群操作步骤
根据需要选择安装kubectl工具的客户端机器;
- 通过内网连接:kubectl客户端机器必须与集群位于同一VPC;
- 通过公网连接:可以使用公网中任一机器作为客户端连接集群;
下载和安装最新版本的kubectl客户端,详情参见 Install kubectl ;
配置集群kubeconfig:
- 登录容器云服务控制台,选中需要连接的集群,点击进入集群详情页面;
- 在集群详情【集群概况】-【集群kubectl连接集群】,点击【管理凭证】;
- 若集群已开启内网访问/外网访问,系统会自动生成对应的内网/外网类型的kubeconfig凭证,在【管理凭证】操作列点击【查看】;
- 选择页面上的【复制】或【下载】按钮,将凭证保存到计算机$HOME/.kube/config文件下;
配置完成后,在凭证有效期内,即可使用kubectl从客户端机器访问Kunernetes集群。
3. kubeconfig凭证管理
登录容器云服务控制台,选中需要连接的集群,点击进入集群详情页面;
在集群详情【集群概况】-【集群kubectl连接集群】,点击【管理凭证】;
在【kubeconfig凭证管理】页面,可查看集群当前已存在的凭证信息;
- 对于通过【开启API Server】生成的凭证,支持查看、延期、重置操作。重置后,用户就无法使用原kubeconfig连接集群,请谨慎操作;
支持生成、查看、删除临时凭证;
- 点击页面上的【生成临时kubeconfig】,在对话框中设置凭证的有效期、网络类型;
- 单击【生成临时kubeconfig】,在生成的凭证区域,可以【复制】/【下载】后使用凭证;
- 若在有效期内需要提前吊销临时凭证,点击列表中对应的【删除】按钮,对应凭证将无法访问集群
- 当临时凭证过期后,将无法连接集群。
注意:
使用kubeconfig凭证通过API Server访问集群,需要您的客户端具备公网访问能力,同时您的集群所在的VPC下需要有已开启SNAT的NAT产品。
不同访问场景对客户端、API Server和VPC NAT的配置要求如下:
| 访问场景 | 客户端要求 | API Server访问要求 | 集群所在VPC的NAT配置 |
|---|---|---|---|
| 通过公网API Server访问集群 | 客户端具备公网访问能力 | 集群API Server已开启外网访问 | 该VPC下已创建NAT 该NAT已开启SNAT功能 |
| 通过内网API Server访问集群 | 仅限在集群所在VPC下的云服务器访问 | 集群API Server已开启内网访问 | 该VPC下已创建NAT 该NAT已开启SNAT功能 |