日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

配置MseIngressConfig

MseIngressConfig是由MSE Ingress Controller提供的CRD資源,用于管理MSE云原生網關實例的生命周期,配置Ingress監聽選項以及全局配置。本文介紹MseIngressConfig的常見用法,包含如何通過MseIngressConfig創建、復用和刪除MSE云原生網關實例,以及如何配置全局實例級別的IP黑白名單訪問控制、開啟SLS日志和開啟可觀測鏈路OpenTelemetry鏈路追蹤。

背景信息

MSE Ingress Controller負責監聽集群中創建的MseIngressConfig資源,實時動態維護該資源對應的云原生網關實例的生命周期以及該網關與ACK托管版/ACK Serverless/ACS集群的關聯性。

通過關聯ACK托管版/ACK Serverless/ACS集群的API Server,MSE云原生網關的控制面可以獲取Ingress資源的變化,然后動態更新MSE云原生網關的路由規則。收到請求時,MSE云原生網關將匹配Ingress轉發規則轉發請求到后端Service所對應的Pod。

Kubernetes中的Service、Ingress、IngressClass、MseIngressConfig和MSE Ingress Controller存在以下關系:

  • Service:后端真實服務的抽象,一個Service可以代表多個相同的后端服務。

  • Ingress:反向代理規則,用來規定HTTP和HTTPS請求應該被轉發到哪個Service上。例如,根據請求中不同的Host和URL路徑,使請求轉發到不同的Service上。

  • IngressClass:Ingress處理器的描述,用于在K8s集群中聲明一個Ingress處理器實現,關聯該IngressClass的Ingress資源會被該Ingress處理器解析。此外,需要通過IngressClass的Parameter字段關聯一個MseIngressConfig(MSE云原生網關),用于實施被解析的Ingress資源描述的流量管理規則。

  • MseIngressConfig:由MSE Ingress Controller提供的CRD,用于描述云原生網關實例的基本信息。

  • MSE Ingress Controller:管理MSE云原生網關實例以及配置的控制平面,本身不是網絡數據平面。負責監聽集群中的MseIngressConfig資源,協調MSE云原生網關實例,以實施Ingress資源描述的流量管理規則。

MSE Ingress Controller工作示意圖。ingress的應用場景

MseIngressConfig說明

配置說明

MseIngressConfig是由MSE Ingress Controller提供的CRD資源,MSE Ingress Controller使用MseIngressConfig來管理MSE云原生網關實例的生命周期以及全局配置。

說明

一個MseIngressConfig對應一個MSE云原生網關實例。如果您需要使用多個MSE云原生網關實例,需要創建多個MseIngressConfig配置。除復用場景外,刪除MseIngressConfig配置,會級聯刪除對應的MSE云原生網關實例。

以下示例代碼為完整的MseIngressConfig配置。

apiVersion: mse.alibabacloud.com/v1alpha1
kind: MseIngressConfig
metadata:
  name: test
spec:
  name: mse-ingress
  common:
    pay:
      payType: POSTPAY
    instance:
      spec: 4c8g
      replicas: 3
    network:
      vSwitches:
      - "vsw-1"
      - "vsw-2"
      publicSLBSpec: slb.s2.small
    securityGroupType: normal
  global:
    tls:
      enableHardwareAcceleration: true
    ipAccessControl:
      whitelist:
      - 1.1.XX.XX
      - 2.2.XX.XX
  monitor:
    logging:
      sls:
        reuseProject: "xxx" # 為空,表示使用默認
    tracing:
      xTrace:
        sampleRate: "100"
  ingress:
    local:
      ingressClass:  mse
      watchNamespace: "" # ""表示所有命名空間中的Ingress資源

參數

說明

是否可選

默認值

name

網關的名稱。

可選

mse-ingress

common.pay.payType

付費類型。

目前只支持按量付費。

可選

若不配置,系統默認選擇按量付費。

POSTPAY

common.instance.spec

網關實例規格。

可選值:

  • 2c4g

  • 4c8g

  • 8c16g

  • 16c32g

可選

4c8g

common.instance.replicas

網關實例副本數。

網關實例副本數為0~30個。

可選

3個

common.network.vSwitches

主備交換機,主在前,備在后。

主備交換機在填寫時至少指定一個,至多兩個;不填則從Controller Pod所在的Node上獲取交換機。

可選

common.network.publicSLBSpec

網關代購的公網SLB規格。

可選值:

  • slb.s1.small

  • slb.s2.small

  • slb.s2.medium

  • slb.s3.small

  • slb.s3.medium

  • slb.s3.large

可選

slb.s2.small

common.network.privateSLBSpec

網關代購的私網SLB規格。

可選值:

  • slb.s1.small

  • slb.s2.small

  • slb.s2.medium

  • slb.s3.small

  • slb.s3.medium

  • slb.s3.large

可選

slb.s2.small

common.securityGroupType

安全組類型。

可選值:

  • enterprise:企業安全組

  • normal:普通安全組

可選

normal

global.tls.enableHardwareAcceleration

TLS硬件加速開關。

可以大幅提升HTTPS流量的性能。

可選

開啟

global.ipAccessControl.whitelist

全局IP訪問白名單。

可選

未配置

global.ipAccessControl.blacklist

全局IP訪問黑名單。

可選

未配置

monitor.logging.sls

SLS日志服務開關。

開啟需要賦予Controller有關SLS的權限。

可選

關閉

monitor.logging.sls.reuseProject

SLS日志服務,投遞訪問日志的目標Project。

可選值:

  • 空:表示使用默認Project(新建)。

  • 指定值:表示使用已有的Project。

可選

配置為空

monitor.tracing.xTrace

OpenTelemetry鏈路追蹤開關。

可選

默認關閉,與openTelemetry互斥開啟。

monitor.tracing.xTrace.sampleRate

OpenTelemetry鏈路追蹤采樣率。

可選

0

monitor.tracing.openTelemetry

openTelemetry鏈路追蹤開關。

可選

默認關閉,與OpenTelemetry互斥開啟。

monitor.tracing.openTelemetry.sampleRate

openTelemetry鏈路追蹤采樣率。

可選

100

ingress.local.ingressClass

云原生網關監聽集群中具體IngressClass下的Ingress資源。

可選值:

  • 未配置:不監聽任何Ingress資源。

  • 配置為mse:監聽IngressClass為mse的Ingress資源

  • 配置為空"":監聽所有Ingress資源。

  • 配置為nginx:監聽IngressClass為nginx或者未關聯任何IngressClass的Ingress資源。

  • 配置為其他值:監聽IngressClass為指定值的Ingress資源。

說明

該配置的優先級低于用戶通過IngressClass資源關聯MseIngressConfig的方式。

可選

未配置

ingress.local.watchNamespace

云原生網關監聽集群中哪些命名空間的Ingress資源。

可選值:

  • 配置為空:監聽所有命名空間。

  • 配置為指定值:監聽指定命名空間,僅支持指定一個。

可選

配置為空

狀態說明

當您創建MseIngressConfig資源后,可以通過kubectl get mseingressconfig的方式查看資源的狀態。MseIngressConfig會按照Pending > Running > Listening的狀態依次變化。各狀態說明如下:

  • Pending:云原生網關正在創建中,需等待3min左右。

  • Running:云原生網關創建成功,并處于運行狀態。

  • Listening:云原生處于運行狀態,并監聽集群中Ingress資源。

  • Failed:云原生網關處于非法狀態,可以查看Status字段中Message來進一步明確原因。

標簽說明

通過MseIngressConfig創建或者復用的MSE云原生網關實例會被打上資源標簽,您可以在MSE網關管理控制臺的基本信息中查看目標網關的標簽信息。

重要

請勿在MSE云原生網關控制臺編輯下表中的標簽,避免對您的網關實例造成影響。

標簽名

說明

ack.aliyun.com

MSE云原生網關管理的容器服務集群的入口流量。

ingress.k8s.alibaba/MseIngressConfig

MSE云原生網關與MseIngressConfig關聯。

kubernetes.reused.by.user

MSE云原生網關是否是復用場景。當為復用場景時,刪除與之關聯的MseIngressConfig時,該MSE云原生網關實例不會被刪除。

創建MSE云原生網關實例

  1. 配置MseIngressConfig。

    通過以下是示例代碼,創建一個名為mse-ingress,副本數為3,實例規格為2c4g的MSE云原生網關實例。您可以按需修改MseIngressConfig的其他配置。

    apiVersion: mse.alibabacloud.com/v1alpha1
    kind: MseIngressConfig
    metadata:
      name: test
    spec:
      name: mse-ingress
      common:
        instance:
          spec: 2c4g
          replicas: 3
  2. 在容器服務集群中創建IngressClass資源,并關聯MseIngressConfig。

    在容器服務集群中創建IngressClass資源,并通過spec.parameters關聯以上的MseIngressConfig配置,完成在容器服務集群中聲明一個Ingress處理器。通過這種方式,集群中關聯該IngressClass的Ingress資源就會被以上MseIngressConfig關聯的MSE云原生網關實例處理并實施。

    apiVersion: networking.k8s.io/v1
    kind: IngressClass
    metadata:
      name: mse
    spec:
      controller: mse.alibabacloud.com/ingress
      parameters:
        apiGroup: mse.alibabacloud.com
        kind: MseIngressConfig
        name: test

復用已有MSE云原生網關實例

如果您希望復用已有MSE云原生網關實例,在創建MseIngressConfig時通過spec.id指定MSE云原生網關實例唯一ID (格式為gw-xxx),并通過參數spec.override來控制是否根據MseIngressConfig覆蓋被復用的MSE云原生網關實例的相關配置。

以下示例代碼,通過MseIngressConfig復用已有MSE云原生網關實例,設置該網關實例關聯容器集群并監聽該容器集群中ingressClass為mse的Ingress資源。

重要
  • 以下配置中spec.override設置為false,表示不覆蓋已有的MSE云原生網關的Ingress監聽選項和全局配置。如果已有的網關實例沒有關聯該容器集群,將會自動設置該網關實例關聯容器集群并設置Ingress監聽選項,監聽該容器集群中ingressClass為spec.ingress.local.ingressClass值的Ingress資源 (此處設置的mse);如果已有的網關實例已經關聯過該容器集群,則不會覆蓋原有的Ingress監聽選項。

  • 如果您希望覆蓋掉已有的MSE云原生網關的Ingress監聽選項和全局配置,請確保MseIngressConfig中網關參數配置 (Ingress監聽選項、硬件加速、全局黑白名單、可觀測)正確之后,再開啟spec.override。當這些配置在MseIngressConfig未指定,開啟spec.override會覆蓋網關原有的參數配置 (Ingress監聽選項、硬件加速、全局黑白名單、可觀測),并可能對您的流量造成影響。

apiVersion: mse.alibabacloud.com/v1alpha1
kind: MseIngressConfig
metadata:
  name: reuse
spec:
  id: gw-xxxx
  override: false
  ingress:
    local:
      ingressClass: mse

參數

說明

spec.id

復用的目標MSE云原生網關實例ID,格式gw-開頭。

spec.override

是否根據MseIngressConfig配置覆蓋被復用的MSE云原生網關實例的相關配置。

  • 設置為true:覆蓋修改網關原有的參數配置 (Ingress監聽選項、硬件加速、全局黑白名單、可觀測)

  • 設置為false,不會覆蓋修改網關原有的參數配置 (Ingress監聽選項、硬件加速、全局黑白名單、可觀測)。但是如果已有的網關實例沒有關聯該容器集群,將會自動設置該網關實例關聯容器集群并設置Ingress監聽選項,監聽該容器集群中ingressClass為spec.ingress.local.ingressClass值的Ingress資源。

刪除MSE云原生網關實例

一個MseIngressConfig對應一個MSE云原生網關實例。除復用場景除外,刪除MseIngressConfig配置,會級聯刪除對應的MSE云原生網關實例。

刪除策略如下表所示。

網關付費類型

MSE Ingress Controller自動創建

復用控制臺已購網關

按量付費

刪除MseIngressConfig,自動刪除網關實例。

刪除MseIngressConfig,保留網關實例。

包年包月

不涉及。

刪除MseIngressConfig,保留網關實例。

執行如下命令,刪除MseIngressConfig配置。

kubectl delete mseingressconfig your-config-name

配置全局實例級別的IP訪問控制

配置IP白名單

配置全局實例級別的IP白名單,可以只允許目標源IP訪問MSE Ingress。

以下示例代碼,配置只允許源IP地址為1.1.XX.XX或者網段為2.0.XX.XX訪問MSE Ingress網關實例。

apiVersion: mse.alibabacloud.com/v1alpha1
kind: MseIngressConfig
metadata:
   name: test
spec:
   ...
  global:
    ipAccessControl:
      whitelist:
      - 1.1.XX.XX
      - 2.0.XX.XX/8
   ...

配置IP黑名單

配置全局實例級別的IP黑名單,可以拒絕目標源IP訪問MSE Ingress。

以下示例代碼,配置拒絕源IP地址為1.1.XX.XX或者網段為2.0.XX.XX訪問MSE Ingress網關實例。

apiVersion: mse.alibabacloud.com/v1alpha1
kind: MseIngressConfig
metadata:
   name: test
spec:
   ...
  global:
    ipAccessControl:
      blacklist:
      - 1.1.XX.XX
      - 2.0.XX.XX/8
   ...

開啟SLS日志

開啟SLS日志之前,請確保已為MSE Ingress Controller授予SLS相關權限。

以下示例代碼,配置MSE Ingress網關投遞訪問日志到名為demo的Project。

apiVersion: mse.alibabacloud.com/v1alpha1
kind: MseIngressConfig
metadata:
   name: test
spec:
   ...
  monitor:
    logging:
      sls:
        # 為空,表示使用默認
        reuseProject: "demo"
    ...
說明

配置reuseProject字段才能開啟SLS日志服務。如果您希望使用默認Project,可將reuseProject配置為空。

開啟OpenTelemetry鏈路追蹤

為網關配置阿里云OpenTelemetry鏈路追蹤服務后,可以實現構建端到端的全鏈路追蹤監控體系,方便線上問題快速診斷和定位。

以下示例代碼,配置MSE Ingress網關的OpenTelemetry鏈路追蹤,其中采樣率(sampleRate)為100%。

apiVersion: mse.alibabacloud.com/v1alpha1
kind: MseIngressConfig
metadata:
   name: test
spec:
   ...
  monitor:
    tracing:
      xTrace:
        sampleRate: "100"
   ...