检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
获取集群证书 功能介绍 该API用于获取指定集群的证书信息。该API已废弃,请使用获取集群证书。 URI GET /api/v3/projects/{project_id}/clusters/{cluster_id}/clustercert 表1 路径参数 参数 是否必选 参数类型
效的情况。 解决方法 一般情况下,您需要从证书提供商处获取有效的合法证书。如果您需要在测试环境下使用,您可以自建证书和私钥,方法如下: 自建的证书通常只适用于测试场景,使用时界面会提示证书不合法,影响正常访问,建议您选择手动上传合法证书,以便通过浏览器校验,保证连接的安全性。 自己生成tls
上下文cluster信息。 user String 上下文user信息。 请求示例 申请30天有效的集群访问证书 { "duration" : 30 } 响应示例 状态码: 200 表示成功获取指定集群的证书。证书文件格式参见kubernetes v1.Config结构 { "kind" : "Config"
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另
CCE集群创建时的根证书如何更新? CCE集群根证书是Kubernetes认证的基础证书,华为云上的Kubernetes集群管理面托管在CCE管理平台上,证书也在CCE的管理平台上,不对用户开放,这个证书在平台上会定期维护,不会出现过期的情况。 X509证书在Kubernetes
通过X509证书连接集群 操作场景 通过控制台获取集群证书,使用该证书可以访问Kubernetes集群。 操作步骤 登录CCE控制台,单击集群名称进入集群。 查看集群总览页,在右边“连接信息”下证书认证一栏,单击“下载”。 图1 获取证书 在弹出的“证书获取”窗口中,根据系统提示
创建节点时password字段加盐加密的方法 通过API创建节点时password字段需要加盐加密,具体方法如下: 盐值需要根据密码的要求来设置,密码复杂度要求如下: 长度为8-26位。 密码至少必须包含大写字母、小写字母、数字和特殊字符(!@$%^-_=+[{}]:,./?)中的三种。
到Secret落盘加密特性已开启。 使用自动轮转密钥开启Secret落盘加密 您可以使用KMS自动轮转密钥功能进行Secret的落盘加密。当密钥发生自动轮转时,存量的Secret仍旧使用轮转前的密钥版本进行加密,新增的Secret将使用轮转后的新密钥版本进行加密。关于自动轮转密钥具体操作,请参见密钥轮换概述。
吊销用户的集群证书 功能介绍 该API用于吊销指定集群的用户证书 吊销操作完成后,此证书申请人之前下载的证书和 kubectl 配置文件无法再用于连接集群。此证书申请人可以重新下载证书或 kubectl 配置文件,并使用新下载的文件连接集群 接口约束 吊销用户集群证书首先需要获取用户ID,如何获取
“存储卷声明类型”选择“云硬盘”,并开启加密,并选择密钥。其余参数可根据情况按需填写,详情请参见通过动态存储卷使用云硬盘。 图1 加密存储卷 单击“创建”。 前往“存储卷声明”页面,查看加密云硬盘存储卷声明是否创建成功,并查看存储配置项是否显示已加密。 图2 PVC加密 在应用中使用加密PVC时,和使用普通PVC的方法一致。
Secret是一种加密存储的资源对象,您可以将认证信息、证书、私钥等保存在Secret中,而不需要把这些敏感数据暴露到镜像或者Pod定义中,从而更加安全和灵活。 Secret与ConfigMap非常像,都是key-value键值对形式,使用方式也相同,不同的是Secret会加密存储,所以适用于存储敏感信息。
轮转证书文件数量检查 检查项内容 检查您节点上的证书数量过多(>1000),由于升级过程中会批量处理证书文件,证书文件过多可能导致节点升级过慢,节点上Pod被驱逐等。 解决方案 方案一:优先建议您重置节点,详情请参考重置节点。 方案二:修复节点上证书轮转异常问题。 进入节点/op
Secret落盘加密特性兼容性检查异常处理 检查项内容 检查本次升级的目标版本是否支持Secret落盘加密特性,若不支持则不允许开启Secret落盘加密特性的集群升级至该版本。 解决方案 CCE从v1.27版本开始支持Secret落盘加密特性,开放该特性的版本号如下: v1.27集群:v1
口默认为443。 证书来源:选择“ELB服务器证书”。 服务器证书:使用在ELB服务中创建的证书。 如果您没有可选择的ELB证书,可前往ELB服务创建,详情请参见创建证书。 前端协议:“HTTPS” 对外端口:443 证书来源:“ELB服务器证书” 服务器证书:cert-test
更新HTTPS证书时,需要在ELB服务中创建新的证书,然后在修改Ingress时选择新的证书。 或者您可以在ELB的证书管理页面,直接修改对应的证书内容。 使用TLS类型的密钥证书 更新HTTPS证书时,需要更新集群中对应的密钥,CCE会将该证书自动配置到ELB侧(证书名以k8s_plb_default开头),由
为Nginx Ingress配置HTTPS证书 Ingress支持配置HTTPS证书以提供安全服务。 请参见通过kubectl连接集群,使用kubectl连接集群。 Ingress支持使用kubernetes.io/tls和IngressTLS两种TLS密钥类型,此处以Ingre
您可以通过以下命令查看证书的过期时间、域名等信息,其中ca.crt为证书路径。 openssl x509 -in ca.crt -subject -noout -text 更新证书操作 使用TLS类型的密钥证书:需要将证书导入至Secret中,CCE会将该证书自动配置到ELB侧(证书名以k8s
服务器证书:选择一个服务器证书作为默认证书。如果当前无可选证书,需前往弹性负载均衡控制台进行创建,详情请参见创建证书。 SNI:选择添加SNI证书,证书中必须包含域名。如果当前无可选证书,需前往弹性负载均衡控制台进行创建,详情请参见创建证书。 如果无法根据客户端请求的域名查找到对应的SNI证书,则默认返回服务器证书。
域名去查找证书。如果找到域名对应的证书,则返回该证书;如果没有找到域名对应的证书,则返回服务器默认证书。 当前支持在集群中使用以下方式配置Ingress证书: 使用TLS类型的密钥证书配置SNI:需要将证书导入至Secret中,CCE会将该证书自动配置到ELB侧(证书名以k8s_
通过X509证书连接集群 修改SAN后,需重新下载X509证书。 登录CCE控制台,单击集群名称进入集群。 查看集群总览页,在右边“连接信息”下证书认证一栏,单击“下载”。 在弹出的“证书获取”窗口中,根据系统提示选择证书的过期时间并下载集群X509证书。 使用集群证书调用Kubernetes原生API。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
