检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
key、client.crt、ca.crt三个文件,请妥善保管您的证书,不要泄露。 集群中容器之间互访不需要证书。 使用集群证书调用Kubernetes原生API。 例如使用curl命令调用接口查看Pod信息,如下所示: curl --cacert ./ca.crt --cert ./client
key的私钥。 用此私钥去签发生成自己的证书。 openssl req -new -x509 -key tls.key -out tls.crt -subj /C=CN/ST=******/O=Devops/CN=example.com -days 3650 生成的私钥格式必须为:
com' 请为Ingress配置和域名相符的证书。 您可以通过以下命令查看证书的过期时间、域名等信息,其中ca.crt为证书路径。 openssl x509 -in ca.crt -subject -noout -text 更新证书操作 使用TLS类型的密钥证书:需要将证书导入至Sec
ingress-test-secret namespace: default type: IngressTLS 此处tls.crt和tls.key为示例,请获取真实的证书和密钥进行替换。tls.crt和tls.key的值为Base64编码后的内容。 创建密钥。 kubectl create -f ingress-test-secret
例如使用curl命令调用接口查看Pod信息,如下所示,其中example.com:5443为自定义SAN。 curl --cacert ./ca.crt --cert ./client.crt --key ./client.key https://example.com:5443/api/v1/namespaces/default/pods/
Y21RPSJ9fX0= 编码后的内容即为.dockerconfigjson内容。 kubernetes.io/tls类型 其中tls.crt和tls.key需要用Base64,Base64编码方法请参见如何进行Base64编码。 kind: Secret apiVersion:
default data: tls.crt: LS0tLS1CRU*****FURS0tLS0t tls.key: LS0tLS1CRU*****VZLS0tLS0= 此处tls.crt和tls.key为示例,请获取真实密钥进行替换。tls.crt和tls.key的值为Base64加密后的内容。
载证书(ca.crt、client.crt和client.key文件)。 使用集群证书调用Kubernetes原生API。 例如使用curl命令调用接口查看Pod信息,如下所示: curl --cacert ./ca.crt --cert ./client.crt --key ./client
CA Private Key 执行ls命令,查看创建的证书。 预期输出: ca.crt ca.key client.crt client.csr client.key server.crt server.csr server.key 执行以下命令,生成CA证书的Secret。
在Jenkins中能够识别的证书文件为PKCS#12 certificate,因此需要先将集群证书转换生成PKCS#12格式的pfx证书文件。 前往CCE控制台的“总览 > 连接信息”页面中下载集群证书,证书包含ca.crt、client.crt、client.key三个文件。 登录一台Linux主机,将三个证
ingress-test-secret namespace: default type: IngressTLS 此处tls.crt和tls.key为示例,请获取真实的证书和密钥进行替换。tls.crt和tls.key的值为Base64编码后的内容。 创建密钥。 kubectl create -f ingress-test-secret
运行中的Pod无法进行在线和离线业务转换,如需转换需要重建Pod。 当节点设置cpu-manager-policy为静态绑核时,不允许将离线Pod设置为Guaranteed的Pod,若需要绑核则需要调整Pod为在线Pod,否则可能会发生离线Pod占用在线Pod的CPU导致在线Pod启动失败
将密钥中的ca.crt解码后导出备用: kubectl get secret my-sa-token-secret -n test -oyaml |grep ca.crt: | awk '{print $2}' |base64 -d > /home/ca.crt 设置集群访问方式
- key: ca.crt path: ca.crt name: kube-root-ca.crt - downwardAPI:
above. 设置ca.crt的环境变量。将ca.crt的路径设置到CURL_CA_BUNDLE环境变量中,这将指示curl命令使用该证书文件作为信任锚点。 export CURL_CA_BUNDLE = /etc/secret-volume/ca.crt 将Token的内容放到TOKEN中。
并更新集群访问证书(kubeconfig),请避免在此期间操作集群。 认证鉴权 CCE支持下载X509证书,证书中包含client.key、client.crt、ca.crt三个文件,请妥善保管您的证书,不要泄露。 如需使用证书访问集群,请参考通过X509证书连接集群。 服务端请求处理配置 表1 服务端请求处理配置参数说明
M后会进行收费,因此监控中心会默认屏蔽采集该类指标。 登录CCE控制台,单击集群名称进入集群详情页。 在左侧导航栏中选择“配置与密钥”,并切换至“monitoring”命名空间,找到名为“persistent-user-config”的配置项。 单击“更新”,对配置数据进行编辑,
路由概述 为什么需要Ingress Service基于TCP和UDP协议进行访问转发,为集群提供了四层负载均衡的能力。但是在实际场景中,Service无法满足应用层中存在着大量的HTTP/HTTPS访问需求。因此,Kubernetes集群提供了另一种基于HTTP协议的访问方式——Ingress。
} } 执行接口PUT请求更新后,命名空间将自动删除。 $ curl --cacert /root/ca.crt --cert /root/client.crt --key /root/client.key -k -H "Content-Type:application/json"
CERTIFICATE-/,/-END CERTIFICATE-/p' > /etc/pki/ca-trust/source/anchors/tmp_ca.crt update-ca-trust systemctl restart docker ubuntu节点执行如下命令。 openssl s_client
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
