检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
获取集群证书及API Server。 方式一:通过获取集群证书API获取,将返回的信息保存至kubeconfig.json文件中,并提取证书、私钥和API Server信息,命令如下。 # 获取集群CA证书并保存为ca.crt cat .
七层证书配置 四层证书配置 高可用部署 CCE为您提供高可用的部署方案: 集群支持3个控制节点的高可用模式 Node节点支持分布在不同AZ 创建工作负载时支持选用不同可用区或节点 容灾部署 磁盘加密 CCE支持多种存储类型,满足各类高可用以及部分存储加密场景,可为您的数据提供强大的安全防护
github.com/kubernetes/dashboard/releases/tag/v1.10.1 漏洞影响 如果您的Kubernetes集群中独立部署了Kubernetes Dashboard v1.10及之前版本(v1.7.0-v1.10.0),同时支持登录功能且使用了自定义证书
如果用户使用版本过低的K8s客户端(Client),由于低版本Client并不具备证书轮转能力,会存在证书轮转失效的风险。 详情请参见ServiceAccount Token安全性提升说明。 父主题: 产品变更公告
问题根因 节点内证书的生效时间在未来,而不是当前时间,在证书未生效时,会导致节点对kube-apiserver的请求被拒绝。 解决方案 登录节点,执行以下命令查看证书。
如果用户使用版本过低的Kubernetes客户端(Client),由于低版本Client并不具备证书轮转能力,会存在证书轮转失效的风险。
升级前检查您自建webhook server的证书是否配置了SAN字段。 若无自建webhook server则不涉及。 若未配置,建议您配置使用SAN字段指定证书支持的IP及域名。
设置集群访问凭证 在Jenkins中能够识别的证书文件为PKCS#12 certificate,因此需要先将集群证书转换生成PKCS#12格式的pfx证书文件。
执行以下命令,创建自签名的CA证书。
监控 使用Prometheus监控多个集群 使用dcgm-exporter监控GPU指标 将Prometheus监控数据上报至第三方监控平台 通过PromQL语句查询Prometheus数据
certUploaded 否 bool 是否使用自定义证书,默认true. cert 否 String 自定义证书cert内容 key 否 String 自定义证书key内容 表4 resources字段数据结构说明 参数 是否必选 参数类型 描述 limitsCpu 是 String
证书认证 系统生成:默认开启X509认证模式,X509是一种非常通用的证书格式。 自有证书:您可以将自定义证书添加到集群中,用自定义证书进行认证。 您需要分别上传自己的CA根证书、客户端证书和客户端证书私钥。
版本发布记录 插件版本 支持的集群版本 更新特性 社区版本 2.5.6 v1.25 v1.27 v1.28 修复部分问题 1.9.3 2.5.4 v1.25 v1.27 v1.28 同一集群支持安装多套NGINX Ingress控制器 支持通过控制台配置nginx-ingress默认证书
当前EulerOS 2.9镜像中有进行安全增强,移除系统中部分非安全或过期知名证书配置,部分第三方镜像在其他类型节点上未报错,在EulerOS 2.9系统报此错误属正常现象,也可通过下述解决方案进行处理。
涉及的监听器配置参数如下: 监听器配置 annotation参数 相关文档 配置ELB证书 kubernetes.io/elb.tls-certificate-ids kubernetes.io/elb.tls-ciphers-policy 为ELB Ingress配置HTTPS证书
default annotations: nginx.ingress.kubernetes.io/backend-protocol: "HTTPS" spec: tls: - secretName: ingress-test-secret #替换为您的TLS密钥证书
本示例使用 grpc.example.com和自签SSL证书。 步骤1:创建SSL证书 复制以下内容并保存至openssl.cnf文件中。
KMS数据加密介绍 在Kubernetes集群中,通常使用Secret密钥模型存储和管理业务应用涉及的敏感信息,例如应用密码、TLS证书、Docker镜像下载凭据等敏感信息。Kubernetes会将所有的Secret密钥对象数据存储在集群对应的etcd中。
73 轮转证书文件数量检查 检查您节点上的证书数量过多(>1000),由于升级过程中会批量处理证书文件,证书文件过多可能导致节点升级过慢,节点上Pod被驱逐等。
升级前检查您自建webhook server的证书是否配置了SAN字段。 若无自建webhook server则不涉及。 若未配置,建议您配置使用SAN字段指定证书支持的IP及域名。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
