检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
不校验服务端证书。 enable_noobj_cache 对象桶 无需填写 为不存在的对象启用缓存条目,可提高性能。对象桶读写模式下自动使用。 从everest 1.2.40版本开始不再默认设置enable_noobj_cache参数。 sigv2 对象桶 无需填写 签名版本。对象桶自动使用。
配置信息 身份提供商URL:填写为 https://kubernetes.default.svc.cluster.local 客户端ID:填写一个ID,后续创建容器时使用。 签名公钥:CCE集群的jwks,获取方法请参见步骤一:获取CCE集群的签名公钥。 身份转换规则 身份映射规则
具体使用请参见使用云原生监控插件监控自定义指标。 - prometheus.io/scheme Prometheus采集协议,值可以填写http或https 具体使用请参见使用云原生监控插件监控自定义指标。 - kubernetes.io/ingress-bandwidth Pod的入口带宽
双向认证。 CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端身份。CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,HTTPS连接才能成功。 服务器证书:当监听器端口启用
io/proxy-body-size: 8m HTTPS双向认证 Nginx Ingress支持配置服务器与客户端之间的双向HTTPS认证来保证连接的安全性。 请参见通过kubectl连接集群,使用kubectl连接集群。 执行以下命令,创建自签名的CA证书。 openssl req -x509
弹性IP时无法正常使用。 证书配置:dashboard服务端使用的证书。 使用自定义证书 您需要参考样例填写pem格式的“证书文件”和“证书私钥”。 使用默认证书 dashboard默认生成的证书不合法,将影响浏览器正常访问,建议您选择手动上传合法证书,以便通过浏览器校验,保证连接的安全性。
容器安全插件 CCE密钥管理(对接 DEW) 容器镜像签名验证 父主题: 插件
更新指定的集群 功能介绍 该API用于更新指定的集群。 集群管理的URL格式为:https://Endpoint/uri。其中uri为资源路径,也即API访问的路径。 调用方法 请参见如何调用API。 URI PUT /api/v3/projects/{project_id}/c
高危操作一览 业务部署或运行过程中,用户可能会触发不同层面的高危操作,导致不同程度上的业务故障。为了能够更好地帮助用户预估及避免操作风险,本文将从集群/节点、网络与负载均衡、日志、云硬盘多个维度出发,为用户展示哪些高危操作会导致怎样的后果,以及为用户提供相应的误操作解决方案。 集群/节点
集群绑定或解绑弹性IP、配置或更新自定义域名时,集群服务端证书将同步签入最新的集群访问地址(包括集群绑定的弹性IP、集群配置的所有自定义域名)。 异步同步集群通常耗时约5-10min,同步结果可以在操作记录中查看“同步证书”。 对于已绑定EIP的集群,如果在使用双向认证时出现认证不通过的情况(x509:
Ingress支持的Service类型请参见ELB Ingress支持的Service类型。 已准备可信的证书,您可以从证书提供商处获取证书。操作详情请参见购买SSL证书。 使用TLS类型的密钥证书 您可以使用以下方式配置TLS类型的密钥证书。 通过控制台配置 通过kubectl命令行配置 登录CCE控制台,单击集群名称进入集群。
Ingress支持的Service类型请参见ELB Ingress支持的Service类型。 已准备可信的证书,您可以从证书提供商处获取证书。操作详情请参见购买SSL证书。 约束与限制 仅使用独享型ELB时,Ingress支持对接HTTPS协议的后端服务。 对接HTTPS协议的后端服务时,Ingress的对外协议也需要选择HTTPS。
为负载均衡类型的Service配置服务器名称指示(SNI) SNI证书是一种扩展服务器证书,允许同一个IP地址和端口号下对外提供多个访问域名,可以根据客户端请求的不同域名来使用不同的安全证书,确保HTTPS通信的安全性。 在配置SNI时,用户需要添加绑定域名的证书,客户端会在发起
Ingress支持的Service类型请参见ELB Ingress支持的Service类型。 已准备可信的证书,您可以从证书提供商处获取证书。操作详情请参见购买SSL证书。 约束与限制 仅当负载均衡端口使用HTTPS协议时,支持使用HTTP/2功能。 配置HTTP/2后,如果您在CCE控制台删除开启HTT
Ingress支持的Service类型请参见ELB Ingress支持的Service类型。 已准备可信的证书,您可以从证书提供商处获取证书。操作详情请参见购买SSL证书。 约束与限制 仅使用独享型ELB时,Ingress支持对接GRPC协议的后端服务。 对接GRPC协议的后端服务时,Ingress的对外
及如何解读和应用扫描结果中的修复建议,请参见镜像安全扫描。 使用镜像签名并配置验签策略 镜像验签是一种安全机制,用于验证容器镜像是否在创建后被篡改过。镜像的创建者可以对其内容进行签名,使用者则可以通过验证这个签名来确认镜像的完整性和来源。 镜像验签是维护容器镜像安全性的关键措施之
CCE容器网络扩展指标插件版本发布记录 节点本地域名解析加速插件版本发布记录 云原生监控插件版本发布记录 云原生日志采集插件版本发布记录 容器镜像签名验证插件版本发布记录 Grafana插件版本发布记录 OpenKruise插件版本发布记录 Gatekeeper插件版本发布记录 容器垂直弹性引擎版本发布记录
ggg1BBIINPXsidG9rZ API同时支持使用AK/SK认证,AK/SK认证是使用SDK对请求进行签名,签名过程会自动往请求中添加Authorization(签名认证信息)和X-Sdk-Date(请求发送的时间)请求头。 AK/SK认证的详细说明请参见认证鉴权的“AK/SK认证”。
为NGINX Ingress控制器插件配置ELB证书 NGINX Ingress控制器插件上支持使用以下方式配置Ingress证书: 密钥证书:需要将证书导入至密钥(Secret)中,并为NGINX Ingress控制器插件指定服务器默认证书(default-ssl-certificate)。
NotIn:亲和/反亲和对象的标签不在标签值列表(values字段)中。 Exists:亲和/反亲和对象存在指定标签名。 DoesNotExist:亲和/反亲和对象不存在指定标签名。 Gt:调度节点的标签值大于列表值 (字符串比较)。 Lt:调度节点的标签值小于列表值 (字符串比较)。 In
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
