检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
套的,不然会出现无效的情况。 解决方法 一般情况下,您需要从证书提供商处获取有效的合法证书。如果您需要在测试环境下使用,您可以自建证书和私钥,方法如下: 自建的证书通常只适用于测试场景,使用时界面会提示证书不合法,影响正常访问,建议您选择手动上传合法证书,以便通过浏览器校验,保证连接的安全性。
在弹出的“证书获取”窗口中,根据系统提示选择证书的过期时间并下载集群X509证书。 下载的证书包含client.key、client.crt、ca.crt三个文件,请妥善保管您的证书,不要泄露。 集群中容器之间互访不需要证书。 使用集群证书调用Kubernetes原生API。 例如使用curl命令调用接口查看Pod信息,如下所示:
CCE集群创建时的根证书如何更新? CCE集群根证书是Kubernetes认证的基础证书,华为云上的Kubernetes集群管理面托管在CCE管理平台上,证书也在CCE的管理平台上,不对用户开放,这个证书在平台上会定期维护,不会出现过期的情况。 X509证书在Kubernetes
object 存放了指定用户的一些证书信息和ClientKey信息。 表7 User 参数 参数类型 描述 client-certificate-data String 客户端证书。 client-key-data String 包含来自TLS客户端密钥文件的PEM编码数据。 表8 Contexts
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另
更多编程语言的SDK代码示例,请参见API Explorer的代码示例页签,可生成自动对应的SDK代码示例。 状态码 状态码 描述 200 表示成功获取指定集群的证书。证书文件格式参见kubernetes v1.Config结构 错误码 请参见错误码。 父主题: 集群管理
您可以通过以下命令查看证书的过期时间、域名等信息,其中ca.crt为证书路径。 openssl x509 -in ca.crt -subject -noout -text 更新证书操作 使用TLS类型的密钥证书:需要将证书导入至Secret中,CCE会将该证书自动配置到ELB侧(证书名以k8s
HTTPS类型负载均衡证书一致性检查异常处理 检查项内容 检查HTTPS类型负载均衡所使用的证书,是否在ELB服务侧被修改。 解决方案 该问题的出现,一般是由于用户在CCE中创建HTTPS类型Ingress后,直接在ELB证书管理功能中修改了Ingress引用的证书,导致CCE集群中存储的证书内
吊销用户的集群证书 功能介绍 该API用于吊销指定集群的用户证书 吊销操作完成后,此证书申请人之前下载的证书和 kubectl 配置文件无法再用于连接集群。此证书申请人可以重新下载证书或 kubectl 配置文件,并使用新下载的文件连接集群 接口约束 吊销用户集群证书首先需要获取用户ID,如何获取
**为统一负载均衡实例的IP地址。 使用ELB服务中的证书 您可以使用以下方式为Ingress配置ELB服务中的证书。 当同时指定ELB证书和IngressTLS证书时,Ingress将使用ELB服务中的证书。 CCE不校验ELB服务中的证书是否有效,只校验证书是否存在。 仅v1.19
登录节点,并进入节点证书目录。 cd /opt/cloud/cce/kubernetes/kubelet/pki/ 备份节点上的证书文件kubelet-client-current.pem。 删除节点上残留的kubelet-server-*证书文件和证书软链文件。 find -maxdepth
时,输入私有镜像仓库的账号和密码。 当密钥为kubernetes.io/tls或IngressTLS类型时,上传证书文件和私钥文件。 说明: 证书是自签名或CA签名过的凭据,用来进行身份认证。 证书请求是对签名的请求,需要使用私钥进行签名。 密钥标签 密钥的标签。键值对形式,输入键值对后单击“确认添加”。
ELB服务中的证书:直接使用ELB服务中创建的证书,NGINX Ingress控制器插件无需指定密钥证书。 图1 NGINX Ingress配置证书差异 本章节介绍如何在NGINX Ingress控制器插件上配置ELB证书,使用ELB证书管理请求使用的证书。 前提条件 集群中安装的NGINX Ingress控制器插件需要为2
namespace: default type: IngressTLS 此处tls.crt和tls.key为示例,请获取真实的证书和密钥进行替换。tls.crt和tls.key的值为Base64编码后的内容。 创建密钥。 kubectl create -f ingress-test-secret
更新HTTPS证书时,需要在ELB服务中创建新的证书,然后在修改Ingress时选择新的证书。 或者您可以在ELB的证书管理页面,直接修改对应的证书内容。 使用TLS类型的密钥证书 更新HTTPS证书时,需要更新集群中对应的密钥,CCE会将该证书自动配置到ELB侧(证书名以k8s_plb_default开头
由于每一个TLS密钥对应ELB的一个证书,且密钥内容相同,ELB证书信息的获取是使用CCE委托权限,获取不受命名空间约束。因此可以通过修改ingress1的证书来源为服务器证书,并配置证书为TLS密钥对应的ELB证书,在ingress2的配置修改页面可以看到实际生效的服务器证书。 登录CCE控制台,单击集群名称进入集群。
到SSL请求后,会根据域名去查找证书。如果找到域名对应的证书,则返回该证书;如果没有找到域名对应的证书,则返回服务器默认证书。 当前支持在集群中使用以下方式配置Ingress证书: 使用TLS类型的密钥证书配置SNI:需要将证书导入至Secret中,CCE会将该证书自动配置到EL
SSL握手请求时就提交请求的域名信息,负载均衡收到SSL请求后,会根据域名去查找证书。如果找到域名对应的证书,则返回该证书;如果没有找到域名对应的证书,则返回服务器默认证书。 配置SNI后,如果您在CCE控制台删除SNI配置或在YAML中删除对应的annotation,ELB侧的配置将会保留。
通过X509证书连接集群 修改SAN后,需重新下载X509证书。 登录CCE控制台,单击集群名称进入集群。 查看集群“概览”页,在右边“连接信息”下证书认证一栏,单击“下载”。 在弹出的“证书获取”窗口中,根据系统提示选择证书的过期时间并下载集群X509证书。 使用集群证书调用Kubernetes原生API。
-out client.crt 预期输出: Signature ok subject=CN = Ingress Getting CA Private Key 执行ls命令,查看创建的证书。 预期输出: ca.crt ca.key client.crt client.csr
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
