检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
CCE集群创建时的根证书如何更新? CCE集群根证书是Kubernetes认证的基础证书,华为云上的Kubernetes集群管理面托管在CCE管理平台上,证书也在CCE的管理平台上,不对用户开放,这个证书在平台上会定期维护,不会出现过期的情况。 X509证书在Kubernetes
获取集群证书 功能介绍 该API用于获取指定集群的证书信息。该API已废弃,请使用获取集群证书。 URI GET /api/v3/projects/{project_id}/clusters/{cluster_id}/clustercert 表1 路径参数 参数 是否必选 参数类型
Ingress配置HTTPS证书 Ingress支持配置SSL/TLS证书,以HTTPS协议的方式对外提供安全服务。 当前支持在集群中使用以下方式配置Ingress证书: 使用TLS类型的密钥证书:需要将证书导入至Secret中,CCE会将该证书自动配置到ELB侧(证书名以k8s_p
通过X509证书连接集群 操作场景 通过控制台获取集群证书,使用该证书可以访问Kubernetes集群。 操作步骤 登录CCE控制台,单击集群名称进入集群。 查看集群总览页,在右边“连接信息”下证书认证一栏,单击“下载”。 图1 获取证书 在弹出的“证书获取”窗口中,根据系统提示
CERTIFICATE----- …………………………………………………………… -----END CERTIFICATE----- 导入证书。 新建TLS密钥时,对应位置导入证书及私钥文件即可。 验证 通过浏览器访问Ingress地址可以正常访问,但因为是自己签发的证书和密钥,所以这里CA不认可,显示不安全。
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书
Service基于TCP和UDP协议进行访问转发,为集群提供了四层负载均衡的能力。但是在实际场景中,Service无法满足应用层中存在着大量的HTTP/HTTPS访问需求。因此,Kubernetes集群提供了另一种基于HTTP协议的访问方式——Ingress。 Ingress是Kubernetes
为Nginx Ingress配置HTTPS证书 Ingress支持配置HTTPS证书以提供安全服务。 请参见通过kubectl连接集群,使用kubectl连接集群。 Ingress支持使用kubernetes.io/tls和IngressTLS两种TLS密钥类型,此处以Ingre
轮转证书文件数量检查 检查项内容 检查您节点上的证书数量过多(>1000),由于升级过程中会批量处理证书文件,证书文件过多可能导致节点升级过慢,节点上Pod被驱逐等。 解决方案 方案一:优先建议您重置节点,详情请参考重置节点。 方案二:修复节点上证书轮转异常问题。 进入节点/op
据盘,选择“作为临时存储卷”导入存储池,详情请参见创建节点。 图1 导入临时卷 手动导入 如果创建节点时没有导入临时存储卷,或当前存储卷容量不够,可以进行手动导入。 前往ECS控制台为节点添加SCSI类型的磁盘。操作步骤详情请参见新增磁盘。 登录CCE控制台,单击集群名称进入集群。
由于每一个TLS密钥对应ELB的一个证书,且密钥内容相同,ELB证书信息的获取是使用CCE委托权限,获取不受命名空间约束。因此可以通过修改ingress1的证书来源为服务器证书,并配置证书为TLS密钥对应的ELB证书,在ingress2的配置修改页面可以看到实际生效的服务器证书。 登录CCE控制台,单击集群名称进入集群。
添加Ingress后请在CCE页面对所选ELB实例进行配置升级和维护,不可在ELB页面对配置进行更改,否则可能导致Ingress服务异常。 Ingress转发策略中注册的URL需与后端应用提供访问的URL一致,否则将返回404错误。 IPVS模式集群下,Ingress和Service使用相同ELB实例时,
据盘,选择“作为持久存储卷”导入存储池,详情请参见创建节点。 手动导入 如果创建节点时没有导入持久存储卷,或当前存储卷容量不够,可以进行手动导入。 前往ECS控制台为节点添加SCSI类型的磁盘。操作步骤详情请参见新增磁盘。 登录CCE控制台,单击集群名称进入集群。 在左侧导航栏中选择“存储”,并切换至“存储池”页签。
务选型参数、规格和费用等信息,并单击“提交”,开始创建节点。 待GPU节点创建完成后,可前往“节点列表”查看节点状态。 导入OBS存储卷 进入存储管理页面,导入OBS存储数据预置中创建的OBS存储卷。 父主题: CCE部署使用Caffe
前端协议:为Ingress配置GRPC协议的后端服务需选择“HTTPS”。 对外端口:ELB监听器的端口,HTTPS协议的端口默认为443。 证书来源:选择“ELB服务器证书”。 服务器证书:使用在ELB服务中创建的证书。 如果您没有可选择的ELB证书,可前往ELB服务创建,详情请参见创建证书。 后端协议:选择“GRPC”。
名对应的证书,则返回服务器默认证书。 当前支持在集群中使用以下方式配置Ingress证书: 使用TLS类型的密钥证书配置SNI:需要将证书导入至Secret中,CCE会将该证书自动配置到ELB侧(证书名以k8s_plb_default开头),由CCE自动创建的证书在ELB侧不可修改或删除。
Ingress中,gRPC服务只运行在HTTPS端口(默认443)上,因此在生产环境中,需要域名和对应的SSL证书。本示例使用 grpc.example.com和自签SSL证书。 步骤1:创建SSL证书 复制以下内容并保存至openssl.cnf文件中。 [req] distinguished_name
通过自定义域名访问集群 操作场景 主题备用名称(Subject Alternative Name,缩写SAN)允许将多种值(包括IP地址、域名等)与证书关联。SAN通常在TLS握手阶段被用于客户端校验服务端的合法性:服务端证书是否被客户端信任的CA所签发,且证书中的SAN是否与客
Secret Secret是一种加密存储的资源对象,您可以将认证信息、证书、私钥等保存在Secret中,而不需要把这些敏感数据暴露到镜像或者Pod定义中,从而更加安全和灵活。 Secret与ConfigMap非常像,都是key-value键值对形式,使用方式也相同,不同的是Sec
openssl x509 -in ca.crt -subject -noout -text 更新证书操作 使用TLS类型的密钥证书:需要将证书导入至Secret中,CCE会将该证书自动配置到ELB侧(证书名以k8s_plb_default开头),由CCE自动创建的证书在ELB侧不可修
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
