检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
X509证书在Kubernetes集群上也是默认开启的,更新平台自动会维护更新。 获取集群证书 通过CCE控制台获取集群证书,使用该证书可以访问Kubernetes,详情请参见获取集群证书。 父主题: 集群创建
不同命名空间下的Ingress共用监听器时如何同步生效的证书? 问题背景 在同一个集群中,多个Ingress可以使用同一个监听器(即使用同一个负载均衡器的同一个端口)。如果两个Ingress均配置了HTTPS证书,则生效的服务器证书将以最早创建的Ingress配置为准。 但是不同
更新ELB Ingress的HTTPS证书 当您面临ELB Ingress的HTTPS证书即将到期或已经过期的情况时,您可以参考本文指导更新HTTPS证书,以免对您的服务造成不必要的中断。 更新ELB Ingress证书场景 更新证书场景 说明 使用ELB服务中的证书 更新HTT
密钥列表中包含系统密钥资源,系统密钥资源不可更新,也不能删除,只能查看。 表2 其他操作 操作 说明 编辑YAML 单击密钥名称后的“编辑YAML”,可编辑当前密钥的YAML文件。 更新密钥 选择需要更新的密钥名称,单击“更新”。 根据表1更改信息。 单击“确定”。 删除密钥
PS协议下生效,且优先级高于默认安全策略。 自定义安全策略的创建、更新步骤请参见TLS安全策略。 kubernetes.io/elb.tls-ciphers-policy 否 String 默认值为“tls-1-2”,为监听器使用的默认安全策略,仅在HTTPS协议下生效。 取值范围:
默认取值: 不涉及 X-Auth-Token 是 String 参数解释: 调用接口的认证方式分为Token和AK/SK两种,如果您使用的Token方式,此参数为必填,请填写Token的值,获取方式请参见获取token。 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 表3
取值范围: 不涉及 默认取值: 不涉及 creationTimestamp String 参数解释: 集群创建时间。 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 updateTimestamp String 参数解释: 集群更新时间。 约束限制: 不涉及 取值范围:
在CCE控制台也可以设置镜像拉取策略,在创建工作负载时设置“更新策略”:勾选表示总是拉取镜像(Always),不勾选则表示按需拉取镜像(IfNotPresent)。 图1 设置更新策略 建议您在制作镜像时,每次制作一个新的镜像都使用一个新的Tag,如果不更新Tag只更新镜像,当拉取策略选择为IfNotPr
资源更新适配 镜像更新适配 由于本例使用的Wordpress和MySQL镜像均可从SWR正常拉取,因此不会出现镜像拉取失败(ErrImagePull)问题。如迁移应用为私有镜像,请执行以下步骤完成镜像更新适配。 将镜像资源迁移至容器镜像服务(SWR),具体步骤请参考客户端上传镜像。
客户端使用了不配套的HTTPS证书链验证ELB Ingress侧配置的HTTPS证书 通过curl命令测试时报错信息如下: SSL certificate problem: unable to get local issuer certificate 请确保客户端中的HTTPS证书链与ELB
实现步骤如下: 当用户更新Ingress资源后,Ingress Controller就会将其中定义的转发规则写入到Nginx的配置文件(nginx.conf)中。 内置的Nginx组件进行reload,加载更新后的配置文件,完成Nginx转发规则的修改和更新。 在流量访问集群时,
default-ns-secret-2 ... 更新首路由中配置的default-ns-secrert-1和default-ns-secret-2密钥。 更新完密钥后,登录网络控制台,在左侧导航栏选择“弹性负载均衡 > 证书管理”,通过查看证书的更新时间确认服务器证书更新是否成功。 如果您的Ingr
对外端口:开放在负载均衡服务地址的端口,可任意指定。 访问控制: 继承ELB已有配置:CCE不对ELB侧已有的访问控制进行修改。 允许所有IP访问:不设置访问控制。 白名单:仅所选IP地址组可以访问ELB地址。 黑名单:所选IP地址组无法访问ELB地址。 证书来源:支持TLS密钥和ELB服务器证书。
certificate-authority-data String 证书授权数据。 insecure-skip-tls-verify Boolean 不校验服务端证书,在 cluster 类型为 externalCluster 时,该值为 true。 表6 Users 参数 参数类型 描述 name
Dashboard插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 3.0.4 v1.27 v1.28 v1.29 修复部分问题 7.3.2 3.0.2 v1.27 v1.28 v1.29 支持v1.27、v1.28、v1.29集群 更新至社区7.3.2版本 7.3.2 2.2.27
址或域名,然后单击“保存”。 图1 自定义SAN 当前操作将会短暂重启kube-apiserver并更新kubeconfig证书,此动作大约耗时5分钟,请避免在此期间操作集群。更新完成后请重新下载kubeconfig证书。 请输入域名或IP,以英文逗号(,)分隔,最多128个。
修改“污点(Taints)”后,对新增的节点自动生效,节点池下的存量节点会根据“存量节点标签及污点”开关状态决定是否同步更新。 存量节点标签及污点 勾选后,更新节点池的资源标签、K8s标签及污点时,会将节点池配置中的资源标签、K8s标签或污点修改同步至节点池中已有的节点。 说明: 节点池更新时,如果修改“同步资源标签”开关状态,需要注意如下事项:
Ingress支持的Service类型请参见ELB Ingress支持的Service类型。 已准备可信的证书,您可以从证书提供商处获取证书。操作详情请参见购买SSL证书。 使用TLS类型的密钥证书配置SNI 您可以使用以下方式使用TLS类型的密钥证书配置SNI。 当使用HTTPS协议时,才支持配置SNI。
用户添加的后端服务器会被移除 重新创建或更新Service/Ingress。 通过ELB的控制台更换CCE创建的监听器后端服务器组 导致Service/Ingress访问不通。 在集群升级等需要重启控制节点的场景,后端服务器组中的后端服务器会被CCE侧重置。 重新创建或更新Service/Ingress。
Ingress中,gRPC服务只运行在HTTPS端口(默认443)上,因此在生产环境中,需要域名和对应的SSL证书。本示例使用 grpc.example.com和自签SSL证书。 步骤1:创建SSL证书 复制以下内容并保存至openssl.cnf文件中。 [req] distinguished_name
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
