正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如果您选择“默认证书”,NGINX Ingress控制器会使用插件默认证书进行加密认证。选择“默认证书”将使用NGINX Ingress控制器自带证书。
如果您选择“默认证书”,NGINX Ingress控制器会使用插件默认证书进行加密认证。默认证书可在安装NGINX Ingress控制器插件时进行自定义配置,未配置自定义证书时将使用NGINX Ingress控制器自带证书。
证书来源:选择“ELB服务器证书”。 服务器证书:使用在ELB服务中创建的证书。 如果您没有可选择的ELB证书,可前往ELB服务创建,详情请参见创建证书。 后端协议:选择“HTTPS”。
使用集群接口时,无需配置集群管理(IAM)权限,仅需在调用集群接口时带上集群证书。但是,集群证书需要有集群管理(IAM)权限的用户进行下载,在证书传递过程中可能存在泄露风险,应在实际使用中注意。 父主题: 权限
证书来源:支持TLS密钥和ELB服务器证书。 服务器证书:使用在ELB服务中创建的证书。 如果您没有可选择的ELB证书,可前往ELB服务创建,详情请参见创建证书。
如果有多个集群共享使用了相同的CA和认证凭证,攻击者可以利用此漏洞攻击其他集群,这种情况下该漏洞为高危漏洞。 对于此次漏洞的跨集群攻击场景,CCE集群使用了独立签发的CA,同时不同集群间认证凭据完全隔离,跨集群场景不受影响。
证书来源:选择“ELB服务器证书”。 服务器证书:使用在ELB服务中创建的证书。 如果您没有可选择的ELB证书,可前往ELB服务创建,详情请参见创建证书。 后端协议:选择“GRPC”。
证书来源:选择“ELB服务器证书”。 服务器证书:使用在ELB服务中创建的证书。 如果您没有可选择的ELB证书,可前往ELB服务创建,详情请参见创建证书。 高级配置:添加高级配置,选择“开启HTTP2”,状态设置为“开启”。
负载均衡收到TLS请求后,会根据请求的域名去查找证书:若找到域名对应的证书,则返回该证书认证鉴权;否则,返回缺省证书(服务器证书)认证鉴权。 当选择HTTPS协议时,才支持配置“SNI”选项。 用于SNI的证书需要指定域名,每个证书只能指定一个域名。支持泛域名证书。
证书配置:dashboard服务端使用的证书。 使用自定义证书 您需要参考样例填写pem格式的“证书文件”和“证书私钥”。 使用默认证书 dashboard默认生成的证书不合法,将影响浏览器正常访问,建议您选择手动上传合法证书,以便通过浏览器校验,保证连接的安全性。
最大长度:1M cert 否 String authenticating_proxy模式配置的x509格式CA证书签发的客户端证书,用于kube-apiserver到扩展apiserver的认证。(base64编码)。
集群管理 创建集群 获取指定的集群 获取指定项目下的集群 更新指定的集群 删除集群 集群休眠 集群唤醒 获取集群证书 吊销用户的集群证书 变更集群规格 获取任务信息 绑定、解绑集群公网apiserver地址 获取集群访问的地址 查询集群日志配置信息 配置集群日志 获取分区列表 创建分区
弹性伸缩 弹性伸缩概述 工作负载弹性伸缩 节点弹性伸缩 使用HPA+CA实现工作负载和节点联动弹性伸缩 CCE容器实例弹性伸缩到CCI服务
七层证书配置 四层证书配置 高可用部署 CCE为您提供高可用的部署方案: 集群支持3个控制节点的高可用模式 Node节点支持分布在不同AZ 创建工作负载时支持选用不同可用区或节点 容灾部署 磁盘加密 CCE支持多种存储类型,满足各类高可用以及部分存储加密场景,可为您的数据提供强大的安全防护
弹性伸缩 使用HPA+CA实现工作负载和节点联动弹性伸缩 CCE容器实例弹性伸缩到CCI服务 基于Prometheus指标的弹性伸缩实践 基于ELB监控指标的弹性伸缩实践 通过Nginx Ingress对多个应用进行弹性伸缩
如果用户使用版本过低的K8s客户端(Client),由于低版本Client并不具备证书轮转能力,会存在证书轮转失效的风险。 详情请参见ServiceAccount Token安全性提升说明。 父主题: 产品变更公告
将密钥中的ca.crt解码后导出备用: kubectl get secret my-sa-token-secret -n test -oyaml |grep ca.crt: | awk '{print $2}' |base64 -d > /home/ca.crt 设置集群访问方式,
path: ca.crt name: kube-root-ca.crt - downwardAPI: items:
如果用户使用版本过低的Kubernetes客户端(Client),由于低版本Client并不具备证书轮转能力,会存在证书轮转失效的风险。
升级前检查您自建webhook server的证书是否配置了SAN字段。 若无自建webhook server则不涉及。 若未配置,建议您配置使用SAN字段指定证书支持的IP及域名。