检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
效,不具备证书reload能力的client将无法访问APIServer,建议使用低版本Client的用户尽快升级至高版本,否则业务将存在故障风险。 如果用户使用版本过低的Kubernetes客户端(Client),由于低版本Client并不具备证书轮转能力,会存在证书轮转失效的
e这个角色,现在进入到Pod,使用curl命令通过API Server访问资源来验证权限是否生效。 使用sa-example对应的ca.crt和Token认证,查询default命名空间下所有Pod资源,对应创建Role中的LIST。 $ kubectl exec -it sa-pod
的基础设施(如创建节点)。 使用集群接口时,无需配置集群管理(IAM)权限,仅需在调用集群接口时带上集群证书。但是,集群证书需要有集群管理(IAM)权限的用户进行下载,在证书传递过程中可能存在泄露风险,应在实际使用中注意。 父主题: 权限
CCE的数据保护手段和特性 数据保护手段 简要说明 详细介绍 服务发现支持证书配置 CCE集群中的应用服务支持使用HTTPS传输协议,保证数据传输的安全性,您可以根据需求创建四层或七层的访问方式来对接负载均衡器。 七层证书配置 四层证书配置 高可用部署 CCE为您提供高可用的部署方案: 集群支持3个控制节点的高可用模式
准。 KMS数据加密介绍 在Kubernetes集群中,通常使用Secret密钥模型存储和管理业务应用涉及的敏感信息,例如应用密码、TLS证书、Docker镜像下载凭据等敏感信息。Kubernetes会将所有的Secret密钥对象数据存储在集群对应的etcd中。 CCE集群支持使
# CA_CERT=$(kubectl -n dev get secret dev-secret -o yaml | awk '/ca.crt:/{print $2}') # cat <<EOF > dev.conf apiVersion: v1 kind: Config clusters:
集群管理 创建集群 获取指定的集群 获取指定项目下的集群 更新指定的集群 删除集群 集群休眠 集群唤醒 获取集群证书 吊销用户的集群证书 变更集群规格 获取任务信息 绑定、解绑集群公网apiserver地址 获取集群访问的地址 查询集群日志配置信息 配置集群日志 获取分区列表 创建分区
1.21及以上版本的集群中会默认开启该特性。如果用户使用版本过低的K8s客户端(Client),由于低版本Client并不具备证书轮转能力,会存在证书轮转失效的风险。 详情请参见ServiceAccount Token安全性提升说明。 父主题: 产品变更公告
登录节点,执行以下命令查看证书。 ll /opt/cloud/cce/kubernetes/kubelet/pki 文件名称即为证书创建时间,请确认证书创建时间是否晚于当前时间。 如果证书生效的时间晚于当前时间,您可以采取以下措施之一解决: 删除节点重新创建。 等待证书生效时间到达,节点会自动变成可用状态。
历史API 获取集群证书 创建PV 删除PV
安全 责任共担 数据保护技术 审计与日志 监控安全风险 认证证书
外部访问类型使用ELB类型时ELB的ID。 certUploaded 否 bool 是否使用自定义证书,默认true. cert 否 String 自定义证书cert内容 key 否 String 自定义证书key内容 表4 resources字段数据结构说明 参数 是否必选 参数类型 描述 limitsCpu
ELB Ingress高级配置示例 为ELB Ingress配置HTTPS证书 更新ELB Ingress的HTTPS证书 为ELB Ingress配置服务器名称指示(SNI) 为ELB Ingress配置多个转发策略 为ELB Ingress配置HTTP/2 为ELB Ingress配置HTTPS协议的后端服务
"HTTPS" spec: tls: - secretName: ingress-test-secret #替换为您的TLS密钥证书 rules: - host: '' http: paths: - path:
Ingress中,gRPC服务只运行在HTTPS端口(默认443)上,因此在生产环境中,需要域名和对应的SSL证书。本示例使用 grpc.example.com和自签SSL证书。 步骤1:创建SSL证书 复制以下内容并保存至openssl.cnf文件中。 [req] distinguished_name
安全加固 集群节点如何不暴露到公网? 如何配置集群的访问策略 如何获取TLS密钥证书? 如何批量修改集群node节点安全组? 父主题: 网络管理
连接集群 通过kubectl连接集群 通过CloudShell连接集群 通过X509证书连接集群 通过自定义域名访问集群 配置集群API Server公网访问 吊销集群访问凭证 父主题: 集群
集群创建 CCE集群创建失败的原因与解决方法? 集群的管理规模和控制节点的数量有关系吗? CCE集群创建时的根证书如何更新? 使用CCE需要关注哪些配额限制? 父主题: 集群
Nginx Ingress高级配置示例 为Nginx Ingress配置HTTPS证书 为Nginx Ingress配置重定向规则 为Nginx Ingress配置URL重写规则 为Nginx Ingress配置HTTPS协议的后端服务 为Nginx Ingress配置GRPC协议的后端服务
15,若客户的webhook证书没有Subject Alternative Names (SAN),kube-apiserver不再默认将X509证书的CommonName字段作为hostname处理,最终导致认证失败。 升级前检查您自建webhook server的证书是否配置了SAN字段。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
