检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
域名去查找证书。如果找到域名对应的证书,则返回该证书;如果没有找到域名对应的证书,则返回服务器默认证书。 当前支持在集群中使用以下方式配置Ingress证书: 使用TLS类型的密钥证书配置SNI:需要将证书导入至Secret中,CCE会将该证书自动配置到ELB侧(证书名以k8s_
Ingress配置HTTPS证书 Ingress支持配置SSL/TLS证书,以HTTPS协议的方式对外提供安全服务。 当前支持在集群中使用以下方式配置Ingress证书: 使用TLS类型的密钥证书:需要将证书导入至Secret中,CCE会将该证书自动配置到ELB侧(证书名以k8s_
Standard/CCE Turbo 此配置是Nodeport类型的service可分配端口范围 配置建议: 30000-32767 端口号小于20106会和CCE组件的健康检查端口冲突,引发集群不可用 端口号高于32767会和net.ipv4.ip_local_port_range范围冲突,影响性能
Turbo 配置建议: 此配置由集群的service-node-port-range配置项确定范围,建议配置在30000-32767之间 端口号小于20106会和CCE组件的健康检查端口冲突,引发集群不可用 端口号高于32767会和net.ipv4.ip_local_port_range范围冲突,影响性能
为ELB Ingress配置多个监听端口 Ingress支持配置自定义监听端口,可为同一个服务配置HTTP和HTTPS协议的监听器,例如一个服务可以同时暴露HTTP协议的80端口和HTTPS的443端口对外提供访问。 前提条件 已创建一个CCE Standard或CCE Turbo集群,且集群版本满足以下要求:
为Nginx Ingress配置HTTPS证书 Ingress支持配置HTTPS证书以提供安全服务。 请参见通过kubectl连接集群,使用kubectl连接集群。 Ingress支持使用kubernetes.io/tls和IngressTLS两种TLS密钥类型,此处以Ingre
需额外配置双向认证。 CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端身份。CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,HTTPS连接才能成功。 服务器证书:选择一
创建配置项 操作场景 配置项(ConfigMap)是一种用于存储工作负载所需配置信息的资源类型,内容由用户决定。配置项创建完成后,可在容器工作负载中作为文件或者环境变量使用。 配置项允许您将配置文件从容器镜像中解耦,从而增强容器工作负载的可移植性。 配置项价值如下: 使用配置项功
ports添加健康检查的目标端口,由协议、端口号组成,如:TCP:80 参数名 取值范围 默认值 是否允许修改 作用范围 target_service_port 无 无 允许 CCE Standard/CCE Turbo 健康检查端口 重新指定的健康检查端口,不指定时默认使用业务端口。 参数名 取值范围
效的情况。 解决方法 一般情况下,您需要从证书提供商处获取有效的合法证书。如果您需要在测试环境下使用,您可以自建证书和私钥,方法如下: 自建的证书通常只适用于测试场景,使用时界面会提示证书不合法,影响正常访问,建议您选择手动上传合法证书,以便通过浏览器校验,保证连接的安全性。 自己生成tls
独享型ELB 监听器配置 前端协议:为Ingress配置HTTPS协议的后端服务需选择“HTTPS”。 对外端口:ELB监听器的端口,HTTPS协议的端口默认为443。 证书来源:选择“ELB服务器证书”。 服务器证书:使用在ELB服务中创建的证书。 如果您没有可选择的ELB证书,可前往ELB服务创建,详情请参见创建证书。
CCE服务的集群节点操作系统配置与开源操作系统默认配置保持一致,用户在节点创建完成后应根据自身安全诉求进行安全加固。 CCE提供以下建议的加固方法: 通过“创建节点”的“安装后执行脚本”功能,在节点创建完成后,执行命令加固节点。具体操作步骤参考创建节点的“云服务器高级设置”的“安装后执行脚本”。“安装后执行脚本”的内容需由用户提供。
4-r0及以上集群版本中支持修改。 重定向至HTTPS:开启后进行HTTPS端口配置。 对外端口:HTTPS协议的端口。 证书来源:支持TLS密钥和ELB服务器证书。 服务器证书:使用在ELB服务中创建的证书。 如果您没有可选择的ELB证书,可前往ELB服务创建,详情请参见创建证书。 前端协议:“HTTP”
监听器使用的服务器证书和SNI证书。 该字段支持填写多个证书ID,通过逗号(,)分隔。第一个证书为监听器默认服务器证书,后续的证书为SNI证书。 配置建议: 推荐使用此配置作为HTTPS监听器的证书配置 一个HTTPS监听器最多支持配置50个SNI证书,超过此值后将不生效 TLS证书 监听器使用的服务器证书信息
对外端口:ELB监听器端口,HTTPS协议的端口默认为443。 证书来源:选择“ELB服务器证书”。 服务器证书:使用在ELB服务中创建的证书。 如果您没有可选择的ELB证书,可前往ELB服务创建,详情请参见创建证书。 高级配置:添加高级配置,选择“开启HTTP2”,状态设置为“开启”。
前端协议:为Ingress配置GRPC协议的后端服务需选择“HTTPS”。 对外端口:ELB监听器的端口,HTTPS协议的端口默认为443。 证书来源:选择“ELB服务器证书”。 服务器证书:使用在ELB服务中创建的证书。 如果您没有可选择的ELB证书,可前往ELB服务创建,详情请参见创建证书。 后端协议:选择“GRPC”。
服务器证书:当监听器端口启用HTTPS时,必须选择一个服务器证书。如果当前无可选证书,需前往弹性负载均衡控制台进行创建,详情请参见创建证书。 SNI:当监听器端口启用HTTPS时,可以选择是否添加SNI证书。如果需要添加SNI证书,证书中必须包含域名。如果当前无可选证书,需前往弹性负载均衡控制台进行创建,详情请参见创建证书。
TLS密钥:创建密钥证书的方法请参见创建密钥。 ELB服务器证书:使用在ELB服务中创建的证书。 服务器证书:负载均衡器创建HTTPS协议监听时需要绑定证书,以支持HTTPS数据传输加密认证。 同一个ELB实例的同一个端口配置HTTPS时,一个监听器只支持配置一个密钥证书。若使用两个不
为Nginx Ingress配置HTTPS协议的后端服务 Ingress可以代理不同协议的后端服务,在默认情况下Ingress的后端代理通道是HTTP协议的,若需要建立HTTPS协议的通道,可在annotation字段中加入如下配置: nginx.ingress.kubernetes
CCE集群创建时的根证书如何更新? CCE集群根证书是Kubernetes认证的基础证书,华为云上的Kubernetes集群管理面托管在CCE管理平台上,证书也在CCE的管理平台上,不对用户开放,这个证书在平台上会定期维护,不会出现过期的情况。 X509证书在Kubernetes
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
