开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

AKS集群创建额外的路由表、额外的NSG及其不使用现有的自定义路由表和NSG

AKS（Azure Kubernetes Service）是微软Azure云平台上的一项托管式Kubernetes服务，用于简化容器化应用程序的部署、管理和扩展。在AKS集群创建过程中，可以选择创建额外的路由表和网络安全组（NSG），并且不使用现有的自定义路由表和NSG。

额外的路由表是一种网络资源，用于定义虚拟网络中子网之间的流量转发规则。它可以根据需要将流量引导到特定的目标，以实现网络流量的控制和管理。在AKS集群中，创建额外的路由表可以为集群中的不同子网提供不同的路由策略，以满足特定的网络需求。

额外的NSG是一种网络安全资源，用于控制虚拟网络中的流量访问和安全策略。它可以定义入站和出站规则，限制特定协议和端口的访问，以保护网络资源的安全性。在AKS集群中，创建额外的NSG可以为集群中的不同子网提供不同的安全策略，以增强网络的安全性。

不使用现有的自定义路由表和NSG意味着在AKS集群创建过程中，将创建全新的路由表和NSG，而不使用已经存在的自定义路由表和NSG。这样可以确保集群的网络配置与现有的网络资源隔离开来，避免可能的冲突和干扰。

AKS集群创建额外的路由表、额外的NSG的优势包括：

灵活性：可以根据实际需求创建不同的路由表和NSG，以满足不同子网的网络和安全需求。
隔离性：创建全新的路由表和NSG可以确保集群的网络配置与现有的网络资源隔离开来，避免可能的冲突和干扰。
安全性：通过创建额外的NSG，可以定义更加细粒度的安全规则，增强集群的网络安全性。

AKS集群创建额外的路由表、额外的NSG适用于以下场景：

需要为不同子网提供不同的网络和安全策略的场景。
需要确保集群的网络配置与现有的网络资源隔离开来的场景。
需要增强集群的网络安全性的场景。

推荐的腾讯云相关产品和产品介绍链接地址：

腾讯云VPC（Virtual Private Cloud）：提供灵活可扩展的私有网络，用于构建隔离的网络环境。详情请参考：https://cloud.tencent.com/product/vpc
腾讯云安全组：用于设置网络访问控制规则，保护云服务器的网络安全。详情请参考：https://cloud.tencent.com/product/sfw
腾讯云容器服务TKE（Tencent Kubernetes Engine）：提供托管式Kubernetes服务，用于简化容器化应用程序的部署和管理。详情请参考：https://cloud.tencent.com/product/tke

请注意，以上推荐的腾讯云产品仅供参考，具体选择应根据实际需求和情况进行。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

如何使用Kubernetes Job运行一次性任务

Job 的一些常用使用场景：批处理作业：Job可以被用来运行需要大量计算资源的作业，例如对大量数据的处理，机器学习模型训练等。...如果不指定 completions 和 parallelism，默认值均为 1 [root@nsg]/tmp/test# kubectl apply -f job.yaml job.batch/pi...Failed）的另一种方式是使用由 TTL 控制器所提供的 TTL 机制。...需要确保 Job Spec 中定义的容器可以正常运行，并有足够的资源和权限执行指定的操作。在设计 Job 时，应考虑 Pod 失败和重试的情况，并设置合适的重试次数和间隔时间。...如果 Job 执行时间过长，需要设置合适的 Pod 生命周期以避免过度消耗资源。在使用 Job 控制器时，应确保控制器的版本和 Kubernetes 版本兼容。

2771 0

29 Jul 2023 az-104备考总结

访问你的私有ip 创建aks时，kubenet为每个节点分配私有ip，azure cni为每个pod分配私有ip application insights是azure的一种应用性能管理服务，...即使没有关联到任何资源，azure仍会对静态公共ip地址和标准负载均衡器及其配置的规则收费，虚拟网络本身是免费的，只有跨区域数据传输会产生费用，已经停止的虚拟机不会产生计算费用，但与其关联的存储和公共...当你创建一个订阅时，你获得了访问和使用azure服务的权限。 2) 提供计费的基础。azure的所有使用费都是基于订阅的。你可以为每个订阅设置不同的付款方法，例如信用卡、发票支付等。...azure files也支持网络文件系统（nfs）协议，这是在unix和linux系统中广泛使用的协议。因此，几乎所有的应用程序都可以无修改地使用azure files。...此外，你还可以使用防火墙和虚拟网络服务终结点来限制访问你的文件共享的网络。备份和恢复：azure files支持azure backup服务，你可以使用它来创建文件共享的备份，并在需要时恢复文件。

2454 0

Vnet subnet Nic Nsg 区别

连接到 VNet 中的子网（不管是相同的子网还是不同的子网）的 NIC 可以互相通信，不需任何额外的配置默认情况下，子网之间没有安全边界，因此，每个子网中的 VM 可以相互通信。...NSG 包含两种类型的规则：入站规则和出站规则。在每组中，规则的优先级必须保持唯一。每个规则包含以下属性：协议、源和目标端口范围、地址前缀、流量方向、优先级和访问类型。...所有 NSG 都包含一组默认规则。默认规则无法删除，但由于给它们分配的优先级最低，可以用创建的规则来重写它们。将 NSG 关联到 NIC 时，NSG 中的网络访问规则只会应用到该 NIC。...即使 VM 位于不同的子网中，它们也可以相互连接，无需配置网关或使用公共 IP 地址。要将 VM 放入某个 VNet，请创建该 VNet，然后在每个 VM 时，将其分配到该 VNet 和子网。...最简单的重新部署方法是删除该 VM（但不要删除其上附加的任何磁盘），并在 VNet 中使用原始磁盘重新创建 VM。

8421 0

13 种高维向量检索算法全解析！数据库顶会 VLDB 2021 论文作者干货分享

很多现有的论文从“分子”角度评估基于近邻图的 ANNS 算法（宏观角度）。...为了避免翻译造成了理解偏差，算法名使用英文简称，算法的原论文链接、部分高质量的中文介绍、部分代码请见参考资料。各算法之间更宏观的联系可参考论文中的表2 和图3。...C4 无额外步骤，最高层中的顶点作为入口 C5 无额外步骤，增量式构建已隐式确保连通性（启发式选边有一定程度破坏连通性） C6 最高层的顶点作为入口 C7 最佳优先搜索 NSG 分解流程：模块 NSG...实验观测和讨论具体的实验评估请参考论文第 5 章，接下来将概括介绍一下实验的观测结果和讨论：不同场景下的算法推荐 NSG 和 NSSG 普遍有最小的索引构建时间和索引尺寸，因此，它们适用于有大量数据频繁更新的场景...（考虑到 GPU 的内存限制）；当对内存消耗要求较高时，NSG 和 NSSG 适合，因为它们内存占用更小。

1.9K1 0

「云网络安全」云网络安全101:Azure私有链接和私有端点

上面，VNet中的虚拟机可以使用Azure私有链接私有端点连接到特定的SQL数据库，就像它在VNet中一样，即使NSG拒绝出站流量。...如果使用自定义DNS设置，则需要使用自己的DNS服务器或使用VM的hosts文件创建DNS记录。(稍后会有更多关于这个的内容!) 现在已经创建了私有端点，可以对其进行测试了。...额外的好处:您可以创建一个NSG，通过阻止来自托管虚拟机的子网的出站流量来进一步锁定VNet。VM仍然能够通过私有端点访问存储帐户，并且可以确保其他流量不能离开子网。...如果您的服务被配置为使用其公共端点连接到私有端点资源，并且您有一个自定义DNS设置，那么您将需要重写DNS解析以使用私有IP地址。...(这就是上述额外的学分作业奏效的原因!)但是不要担心——子网中的其他资源仍然像往常一样受NSG安全规则的控制。

6.1K1 0

云计算的20大常见安全漏洞与配置错误

NSG入站规则配置为ANY 11.公共IP地址配置为Basic SKU 12.面向公众的服务使用动态IP地址 13.可匿名读取访问的Blob存储 14.Azure AD中的访客用户数量过大 15.Azure...09 Azure Monitor中缺少日志警报 Azure的监控和警报服务允许创建自定义警报，以针对Azure云中部署的服务的特定需求量身定制。...因此，在Azure体系结构审阅中，总是希望看到与环境相关的定义明确的自定义警报列表。...以下是我们可以使用Azure监控警报发出警报的示例列表： ·指标值 ·记录搜索查询 ·活动日志事件 ·基础Azure平台的运行状况 ·测试网站可用性 10 Azure NSG入站规则配置为ANY 在NSG...唯一的缺点是，这是一项高级功能，会增加额外的费用。

2.1K1 0

为什么微信推荐这么快？

在经过调研后，发现已有的解决方案存在以下问题：在学术界中，已经存在有成熟并开源的 ANN 搜索库，然而这些搜索库仅仅是作为单机引擎存在，而不能作为高性能、可依赖、可拓展的分布式组件为推荐系统提供服务；...基于上述的这些要求以及业内组件的限制，我们借助 WFS 和 Chubby 设计并实现了 SimSvr，它是一个高性能、功能丰富的特征检索组件，具有以下特点：分布式可伸缩的架构，支持亿级以上的索引量，以及索引的并发加速查询...，实现了 10ms 以内检索数亿的索引；高性能召回引擎，使用了召回性能极佳的 hnswlib 作为首选召回引擎，大部分请求可在 2ms 内完成检索；集群化管理，集成了完善的数据调度及动态路由功能；...master 数据调度：通过表的元信息及 worker 状态，将未分配的数据或者失效 worker 上的数据调度给其他有效的 worker；生成路由表：根据 worker 的数据加载情况及状态，生成集群的路由表...调度； master 会根据 worker 的健康情况及资源使用情况进行数据的调度及路由表的生成； 路由表带有递增的版本号，可根据版本号感知路由的变化。

2.5K3 0

谈谈Kubernets纯种三层网络

当我们从容器10.244.0.2去访问10.244.1.3的容器时，当数据包走到cni0网桥时会根据宿主机的路由表发现，吓一跳是10.168.0.3，也就是目的容器的宿主机，此时eth0设备会使用下一跳地址对应的...hots-gw的优势 host-gw模式下避免了额外的封包和解包的性能损耗。 Flannel host-gw路由信息的维护需要通过Etcd和宿主机上的flanneld进程。 BGP是什么？...使用了BGP之后，每个边界网关上都会运行着一个小程序，它们会将各自的路由表信息通过TCP传输给其他的边界网关，其他边界网关上的小程序会对收到的这些数据进行分析，然后将需要的信息添加到自己的路由表里。...负责在集群里分发路由规则信息 Calico不会在宿主机上创建任何网桥设备，但是Calico的CNI插件会创建一个Veth Pair设备，以便容器内的数据包出现在宿主机上，从而通过宿主机的路由表到达目的容器...Calico如何获取全局路由信息默认情况下，Calico采用的是Node-to-Node Mesh的模式，该模式要求每台宿主机的BGP Client和其他节点进行通信以便交换路由信息，比较适合100节点以下的集群

1853 0

使用 Azure DevTest Lab 搭建云端开发测试环境

实验室所有者创建实验室、预配 Windows 或 Linux 虚拟机、安装必要的软件和工具，并将其提供给实验室用户使用。...通过使用可重用模板和项目，预配 Windows 和 Linux 环境。开发人员可在任何需要的时候轻松自定义其开发计算机。...搜索并选择你需要的操作系统镜像，这个列表里也包括了许多预配置的镜像，如SQL Server、AKS、各种Linux等等，甚至还可以找到 Windows 10 + Office 365。...如果你用过普通的 Azure VM服务，会发现这个向导就是个极简版的Azure VM，省去了网卡、NSG、IP等众多高级配置。 ?...当然，这个列表肯定不包含你自己或企业的专业软件，别担心，微软允许从三方库添加这些artifact（可以自行查阅方法，本文暂不讨论） ?

1.5K1 0

盘点Kubernetes网络问题的4种解决方案

Flannel是CoreOS团队针对Kubernetes设计的一个网络规划服务，简单来说，它的功能是让集群中的不同节点主机创建的Docker容器都具有全集群唯一的虚拟IP地址。...，使用内存中的Pod节点路由表，将docker0发给它的数据包包装起来，利用物理网络的连接将数据包投递到目标flanneld上，从而完成pod到pod之间的直接的地址通信。...集群外部访问Pod或Service 由于Pod和Service是Kubernetes集群范围内的虚拟概念，所以集群外的客户端系统无法通过Pod的IP地址或者Service的虚拟IP地址和虚拟端口号访问到它们...通过使用IP、brctl、ovs-vsctl等命令来为Docker容器配置自定义的网桥、网卡、路由等。有如下功能：支持使用自定义的Linux Bridge、veth pair为容器提供通信。...Calico有两种布署方案，一般集群都配有SSL证书和非证书的情况。

2.1K2 0

腾讯云私有化容器平台之网络

刚开始接触容器集群的人会发现，与在单节点上使用容器相比，容器集群一个很复杂的领域就是网络。...综合来说所有的网络方案可以分为 Overlay 和 Underlay 两大类，其中 Overlay 网络在原始3层网络的基础上又封装了一层虚拟的网络，使得网络包可以在 K8S 集群的不同节点中传递，这种方案不依赖于宿主机底层网络架构...针对每一个节点，如果该节点和容器子网处于同一个可用区，我们会为该节点额外创建一块弹性网卡。...在做跨节点通信时，Flannel 默认使用 Vxlan 协议将额外的节点信息添加为包头进行传输，但是这种传输方式一直在解包封包，性能损失较大。...它是大多数用户的不错选择，通过腾讯云 TKE 创建的私有云Kubernetes 集群默认采用该方案。

7.5K5 3

【Kubernetes系列】第11篇网络原理解析（下篇）

Overlay网络不是默认必须的，但是它们在特定场景下非常有用。比如当我们没有足够的IP空间，或者网络无法处理额外路由，抑或当我们需要Overlay提供的某些额外管理特性。...3b. flanneld daemon和Kubernetes apiserver或者底层的etcd通信，它知道所有的Pod IP，并且知道它们在哪个节点上。...因此Flannel创建了Pod IP和Node IP之间的映射（在用户空间）。...专家建议：采取第二种方法，你可节省不必要的DNS调用，但是由于环境变量存在创建顺序的局限性（环境变量中不包含后来创建的服务），推荐使用DNS来进行服务名解析。...我们还介绍了出站和入站流量的工作原理以及网络策略如何对集群内的安全性起作用。

8803 0

如何使用postgis做一个高可用的附近的人服务？

基本数据结构如下：有三个比较重要的点通过create extension语句创建postgis插件，每个库只能创建一次创建一个gis类型字段，支持POINT、POLYGON等多种数据类型，我们后续的排序和计算都将使用此字段...由于GIS应用会有热点问题和各种数据调整问题，传统的sharding技术（mod、hash、random）并不能很好的工作，我们需要自定义路由表。...路由表可以使用geohash进行分块或者按照实际的城市区域代码进行分片映射。...这种模式有很多好处，比如你可以订阅一份数据专门去做用户的轨迹服务 PgRouter 将经纬度转化为geohash，根据路由表信息，定位到pg集群中的一批节点，进行查询计算节点的启停、主从关系，使用repmgr...但万变不离其宗，这些花拳绣腿会引入额外的复杂性，远不如简单的自定义路由来的方便快捷，我们引入节点权重的意义就在这里，如某些节点因为IO等运算缓慢，就可以降低其权重来解决。

2.6K5 0

云原生｜关于K8s中Ingress和Egress流量的那些事儿

但是Kubernetes的基础系统就是一个Linux OS，默认来说所有的流量都从主路由表出去，但是一个路由表只能顶一个默认路由，如果想把流量分发到对应的VRF下，就需要在主路由表里定义很多的路由条目。...，routing policy保证了每一张路由表中都有自己的默认路由，就可以涵盖所有的目的地址。...问题来了，如果没有使用Solution1定义一个到10.10.10.10的明细路由，那么依然匹配的是主路由表里的默认，也就是会发给VRF1，业务失败，所以此时必须要定义明细路由，我们自定义的Routing...Policy是不生效的。...理论上就是在K8s差看路由表之前需要将数据包的源地址SNAT成Service地址也就是3.3.3.3之后，就可以匹配上自定义的Routing Policy，就可以使用vrf2这个路由表里的默认路由了，目前没有看到

4613 0

k8s集群网络(6)-flannel underlay网络

在上一篇文章中我们以nginx-ingress-controller-service为例子，主要介绍了集群中node port类型的cluster ip实现原理，当然是基于iptable的nat的模式，...在这里我们主要介绍集群中的网络通讯，在以前文章中介绍过，对于容器之间的网络通讯基本分为两种，underlay方式和overlay方式。...underlay方式在通讯过程中没有额外的封包，通常将容器的宿主作为路由来实现数据包的转发。...overlay方式在通讯过程中有额外的封包，当然这里只是学习，具体生产环境中使用哪种方式要根据自己的实际情况和需求来。...弦外之音，原始pod的host必须和目标pod的host在同一个二层网络里，因为只有这样才可以下一跳路由可达。

9252 0

Juniper瞻博网络路由实例，收藏！

在瞻博网络交换机或路由器上，我们可以创建额外的虚拟路由表，称为 routing-instances，这些类似于 Cisco 路由器上的 VRF。...创建新实例时，会创建一个额外的路由表，可能是 example.inet.0。与 Cisco 不同，有几种明确定义的路由表类型，具体取决于它们的使用方式。...此路由实例创建单独的路由表，但不创建单独的转发表，JunOS 在路由（控制平面）和转发（转发平面）之间有非常明确的定义。...与 no-forwarding类型不同，virtual-router 将创建一个单独的路由表 和一个单独的转发表。这两种实例类型都不使用目标、导出、导入或区分符等功能。...VRF VRF，创建L3VPN时实例类型被使用，这是传统意义上的 VRF（VPN 路由和转发）。因此，简而言之，这与 MPLS 功能一起使用。

1.3K2 1

Kubernetes 开源9年，但我们已经有了 8 年的踩坑血泪史

此外，我们的许多工程师都熟悉 Azure 及其生态系统。还应该提到一点，对于 AKS 上的初始设置，我们不必为控制平面节点（主节点）付费，这是一个额外的好处（节省节点费用）。...最重要的是，库里没有存储创建集群的任何配置。重新建立集群并把我们的所有服务和产品都塞进去的任务成了一场赶时间的赛跑。其中一些服务需要重新设计 Helm 图表来创建缺失的配置。...不幸的是，当我们从崩溃 #1 中重新创建集群时，我们使用的特定版本的 kube-aws 出现了问题。...对我们来说，由于团队带宽有限，我们决定存储和使用 shell 脚本。无论你选择哪种方法，请务必不时测试流程，以确保你可以在需要时重新创建集群。备份密钥制定备份和存储密钥的策略。...如果你的集群消失了，你所有的密钥也都会消失。相信我，这是我们的前车之鉴；当你有多个不同的微服务和外部依赖项时，需要花费大量时间才能使一切恢复正常。

1721 0

我们为什么会删除不了集群的 Namespace？让我们一起一步步排查根因

完整的分组/版本列表，可以使用 kubectl api-versions 命令看到。 ? 我们创建的每一个资源，都必然属于某一个 API 分组/版本。...在阿里云 K8s 集群环境里，API Server 使用的是主机网络，即 ECS 的网络，而 Metrics Server 使用的是 Pod 网络。这两者之间的通信，依赖于 VPC 路由表的转发。...检查集群 VPC 路由表，发现指向 Metrics Server 所在节点的路由表项缺失，所以 API server 和 Metrics Server 之间的通信出了问题。...Route Controller 为什么不工作？为了维持集群 VPC 路由表项的正确性，阿里云在 Cloud Controller Manager 内部实现了 Route Controller。...问题大图总体来说，这个问题与 K8s 集群的 6 个组件有关系，分别是 API Server 及其扩展 Metrics Server，Namespace Controller 和 Route Controller

6572 0

「译文」比较开源 k8s LoadBalancer-MetalLB vs PureLB vs OpenELB

这允许负载均衡器在交换机中填充路由表，以使用等价多路径，在流量进入集群之前提供一层数据包分配。多个路径被公布出来，使之成为一个更加冗余的解决方案。...2.BGP功能没有办法与Linux路由表整合，只能用于宣传MetalLB创建的前缀。3.BGP功能受限于MetalLB的支持水平，其他软件路由器中的功能需要专门为MetalLB开发。...MetalLB有一些额外的BGP功能，如聚合和社区支持，但没有被认为在标准路由器中必须的功能。这两种模式都可以同时使用，每种模式都需要特定的配置。流量策略。...网络设计者使用地址聚合来控制路由表的大小，支持聚合提供大规模的网络灵活性。路由协议 PureLB不直接实现任何需要添加软件路由器的路由协议，以分配添加到虚拟接口的地址的可达性。...波特的第二层操作有多个POD，导致重复的IP地址，因此进一步讨论这个设置如何影响现有的不正确的网络行为是不相关的。配置配置是通过自定义资源，每个EIP包含一个地址范围和相关协议。

2.3K2 0

一文看懂Flannel-UDP在kubernetes中如何工作

为了帮助解释，我在AWS上使用了一个小型的测试kubernetes集群，该集群中有3个Kubernetes节点。网络如下所示： ?...为了在主机上与覆盖网络中的其他容器进行跨主机通信，flannel使用内核路由表和UDP封装来实现该功能，以下各节对此进行了说明。...在每个主机中，flannel运行一个名为的守护进程flanneld，它在内核的路由表中创建一些路由规则，这是节点1的路由表的样子： admin@ip-172-20-33-102:~$ ip route...较新版本的flannel不建议将UDP封装用于生产，它表示仅应将其用于调试和测试目的。...结论 Flannel是kubernetes网络模型的最简单实现之一。它使用现有的Docker网络和带有守护进程的额外Tun设备进行UDP封装。

1.2K1 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭