华为云首页用户手册

云容器引擎 CCE-Service配置TLS:通过控制台创建

时间：2024-05-31 08:37:34

云容器引擎 CCE

通过控制台创建

登录CCE控制台，单击集群名称进入集群。
在左侧导航栏中选择“服务”，在右上角单击“创建服务”。
设置Service参数。本示例中仅列举使用TLS的必选参数，其余参数可根据需求参考创建LoadBalancer类型Service进行设置。
- Service名称：自定义服务名称，可与工作负载名称保持一致。
- 访问类型：选择“负载均衡”。
- 选择器：添加标签，Service根据标签选择Pod，填写后单击“确认添加”。也可以引用已有工作负载的标签，单击“引用负载标签”，在弹出的窗口中选择负载，然后单击“确定”。
- 负载均衡器：选择弹性负载均衡的类型、创建方式。
  - 类型：本例中仅支持选择“独享型”，且需选择“网络型（TCP/UDP/TLS）”或“网络型（TCP/UDP/TLS）&应用型（HTTP/HTTPS）”，否则监听器端口将无法启用TLS。
  - 创建方式：本文中以选择已有ELB为例进行说明，关于自动创建的配置参数请参见表1。
- 端口配置：
  - 协议：请选择TCP协议，选择UDP协议将无法使用TLS。
  - 服务端口：Service使用的端口，端口范围为1-65535。
  - 容器端口：工作负载程序实际监听的端口，需用户确定。例如nginx默认使用80端口。
  - 监听器前端协议：本例中Service需选择TLS协议。当选择独享型负载均衡器类型时，需包含“网络型（TCP/UDP/TLS）”方可支持配置TLS协议。
- 监听器配置：
  - SSL解析方式：当监听器端口启用HTTPS/TLS时可选择SSL解析方式。
    - 单向认证：仅进行服务器端认证。如需认证客户端身份，请选择双向认证。
    - 双向认证：双向认证需要负载均衡实例与访问用户互相提供身份认证，从而允许通过认证的用户访问负载均衡实例，后端服务器无需额外配置双向认证。
  - CA证书：SSL解析方式选择“双向认证”时需要添加CA证书，用于认证客户端身份。CA证书又称客户端CA公钥证书，用于验证客户端证书的签发者；在开启双向认证功能时，只有当客户端能够出具指定CA签发的证书时，连接才能成功。
  - 服务器证书：选择一个服务器证书。如果当前无可选证书，需前往弹性负载均衡控制台进行创建，详情请参见创建证书。
  - ProxyProtocol：支持通过ProxyProtocol协议携带客户端真实IP到后端服务器。
    
    请确保后端服务器具有解析ProxyProtocol协议的能力，否则可能导致业务中断，请谨慎开启。
  - 后端协议：当监听器端口启用TLS时，支持使用TCP或TLS协议对接后端服务，默认为TCP。
图1 配置TLS
单击“确定”，创建Service。