检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
当密钥为kubernetes.io/tls或IngressTLS类型时,上传证书文件和私钥文件。 说明: 证书是自签名或CA签名过的凭据,用来进行身份认证。 证书请求是对签名的请求,需要使用私钥进行签名。 密钥标签 密钥的标签。键值对形式,输入键值对后单击“确认添加”。
CA 根证书 认证模式为 authenticating_proxy 时,指定的CA 代理根证书 参数名 取值范围 默认值 是否允许修改 作用范围 Authentication.authenticatingProxy.ca Base64编码 无 允许 CCE Standard/CCE
执行以下命令,创建自签名的CA证书。
CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端身份。CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,HTTPS连接才能成功。
证书来源:支持TLS密钥和ELB服务器证书。 TLS密钥:创建密钥证书的方法请参见创建密钥。 ELB服务器证书:使用在ELB服务中创建的证书。 服务器证书:负载均衡器创建HTTPS协议监听时需要绑定证书,以支持HTTPS数据传输加密认证。
执行以下命令生成证书。
集群网络模型选择及各模型区别 自研高性能商业版容器网络插件,支持容器隧道网络、VPC网络、云原生网络2.0网络模型: 集群创建成功后,网络模型不可更改,请谨慎选择。 容器隧道网络(Overlay):基于底层VPC网络构建了独立的VXLAN隧道化容器网络,适用于一般场景。
获取集群证书及API Server。 方式一:通过获取集群证书API获取,将返回的信息保存至kubeconfig.json文件中,并提取证书、私钥和API Server信息,命令如下。 # 获取集群CA证书并保存为ca.crt cat .
CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端身份。CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,HTTPS连接才能成功。
/tmp_ca.crt update-ca-trust systemctl restart docker 父主题: 配置工作负载
云容器引擎(CCE)与云容器实例(CCI)的区别是什么?
表22 AuthenticatingProxy 参数 参数类型 描述 ca String 参数解释: authenticating_proxy模式配置的x509格式CA证书(base64编码)。
此操作将会短暂重启 kube-apiserver 并更新集群访问证书(kubeconfig),请避免在此期间操作集群。 认证鉴权 CCE支持下载X509证书,证书中包含client.key、client.crt、ca.crt三个文件,请妥善保管您的证书,不要泄露。
各类存储的区别和对比如下: 表1 各类存储的区别和对比 存储类型 持久化存储 伴随容器自动迁移 多节点挂载 本地磁盘存储 支持 不支持 不支持 云硬盘存储卷(EVS) 支持 支持 不支持 对象存储卷(OBS) 支持 支持 支持,可由多个节点或工作负载共享 文件存储卷(SFS) 支持
云容器引擎(CCE)和应用管理与运维平台(ServiceStage)的区别是什么? 对于使用者而言,云容器引擎关注的重点是Pod的部署,应用管理与运维平台关注的是服务的使用。 对于技术实现来看,应用管理与运维平台是对云容器引擎的再一次封装。
通过ELB的控制台修改CCE管理的ELB证书 在集群升级等需要重启控制节点的场景,后端服务器组中的后端服务器会被CCE侧重置。 通过Ingress的YAML来自动管理证书。
前往CCE控制台的“总览 > 连接信息”页面中下载集群证书,证书包含ca.crt、client.crt、client.key三个文件。
该功能可以和HPA策略配合使用,具体请参见使用HPA+CA实现工作负载和节点联动弹性伸缩。 自定义节点弹性策略开关:根据节点弹性策略自动扩容节点池,默认开启。 节点扩容资源上限 节点数量:扩容时,集群下所有节点数量的上限,超过该值时将不再扩容。默认为集群管理规模的节点上限。
注意: 请上传小于1MB的文件,CA根证书和客户端证书上传格式支持.crt或.cer格式,客户端证书私钥仅支持上传未加密的证书私钥。 客户端证书有效期需要5年以上。 上传的CA根证书既给认证代理使用,也用于配置kube-apiserver聚合层,如不合法,集群将无法成功创建。
kubernetes.io/tls:Kubernetes的TLS密钥类型,用于存放7层负载均衡服务所需的证书 IngressTLS:CCE提供的TLS密钥类型,用于存放7层负载均衡服务所需的证书。 其他:若需要创建其他自定义类型的密钥,可手动输入密钥类型。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
