检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安装Helm模板chart包 CCE提供的模板不能满足要求时,可下载模板的chart包进行安装。 在https://github.com/helm/charts的stable目录中查找您需要的chart包,下载后将chart包上传至节点。 下载并解压已获取的chart包,一般chart包格式为.zip。
1.21及以上版本的集群中会默认开启该特性。如果用户使用版本过低的K8s客户端(Client),由于低版本Client并不具备证书轮转能力,会存在证书轮转失效的风险。 详情请参见ServiceAccount Token安全性提升说明。 父主题: 产品变更公告
izers字段,如果存在,需要通过如下命令进入命名空间后删除该字段: kubectl edit ns rdbms 集群证书获取方法请参见获取集群证书。 https://x.x.x.x:5443为连接集群的地址。您可以登录CCE控制台,进入集群,查看连接信息的内网地址进行获取。 再
Ingress Controller服务。 获取模板包。 前往社区模板发布页面,选择合适的版本并下载tgz格式的Helm Chart包。本文以社区4.4.2版本的模板包为例,该模板包适用于v1.21及以上的CCE集群。由于不同版本的模板包配置项可能存在差异,本文中的配置仅对4.4.2版本生效。
//定义镜像名称 def build_name = 'demo01' //部署测试集群的证书ID def test_credential = 'test_config' //部署生产集群的证书ID def prod_credential = 'prod_config' //测试集
登录节点,执行以下命令查看证书。 ll /opt/cloud/cce/kubernetes/kubelet/pki 文件名称即为证书创建时间,请确认证书创建时间是否晚于当前时间。 如果证书生效的时间晚于当前时间,您可以采取以下措施之一解决: 删除节点重新创建。 等待证书生效时间到达,节点会自动变成可用状态。
集群。 证书认证 系统生成:默认开启X509认证模式,X509是一种非常通用的证书格式。 自有证书:您可以将自定义证书添加到集群中,用自定义证书进行认证。 您需要分别上传自己的CA根证书、客户端证书和客户端证书私钥。 注意: 请上传小于1MB的文件,CA根证书和客户端证书上传格式支持
外部访问类型使用ELB类型时ELB的ID。 certUploaded 否 bool 是否使用自定义证书,默认true. cert 否 String 自定义证书cert内容 key 否 String 自定义证书key内容 表4 resources字段数据结构说明 参数 是否必选 参数类型 描述 limitsCpu
历史API 获取集群证书 创建PV 删除PV
service 是 表8 对外访问service配置 config 否 Map<String>String nginx配置参数,参考社区说明https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/configmap/
signed by unknown authority 从第三方仓库下载镜像时,第三方仓库使用了非知名或者不安全的证书. 排查项五: 远程镜像仓库使用非知名或不安全的证书 Failed to pull image "XXX": rpc error: code = Unknown desc
安全 责任共担 数据保护技术 审计与日志 监控安全风险 认证证书
最大长度:1M。 默认取值: 不涉及 cert 否 String 参数解释: authenticating_proxy模式配置的x509格式CA证书签发的客户端证书,用于kube-apiserver到扩展apiserver的认证。(base64编码)。 约束限制: 当集群认证模式为authen
会。该漏洞为中危漏洞,CVSS评分为6.0。 Kubernetes本身不受该漏洞影响,但Kubernetes所使用的CNI插件(请参阅https://github.com/containernetworking/plugins/pull/484)会受影响,以下kubelet版本都包含了受影响的CNI插件服务:
安全加固 集群节点如何不暴露到公网? 如何配置集群的访问策略 如何获取TLS密钥证书? 如何批量修改集群node节点安全组? 父主题: 网络管理
连接集群 通过kubectl连接集群 通过CloudShell连接集群 通过X509证书连接集群 通过自定义域名访问集群 配置集群API Server公网访问 吊销集群访问凭证 父主题: 集群
集群创建 CCE集群创建失败的原因与解决方法? 集群的管理规模和控制节点的数量有关系吗? CCE集群创建时的根证书如何更新? 使用CCE需要关注哪些配额限制? 父主题: 集群
最大长度:1M。 默认取值: 不涉及 cert String 参数解释: authenticating_proxy模式配置的x509格式CA证书签发的客户端证书,用于kube-apiserver到扩展apiserver的认证。(base64编码)。 约束限制: 当集群认证模式为authenti
最大长度:1M。 默认取值: 不涉及 cert String 参数解释: authenticating_proxy模式配置的x509格式CA证书签发的客户端证书,用于kube-apiserver到扩展apiserver的认证。(base64编码)。 约束限制: 当集群认证模式为authenti
'jenkins-demo' //部署集群的证书ID def credential = 'k8s-token' //集群的APIserver地址,需保证从Jenkins集群可以正常访问该地址 def apiserver = 'https://192.168.0.100:6443'
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
