检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
存储的证书内容与ELB侧不一致,进而导致升级后ELB侧证书被覆盖。 请登录ELB服务控制台,在“弹性负载均衡 > 证书管理”界面找到该证书,在证书描述字段中找到对应的secret_id。 图1 查询证书 该secret_id即为集群中对应Secret的metadata.uid字段
上下文cluster信息。 user String 上下文user信息。 请求示例 申请30天有效的集群访问证书 { "duration" : 30 } 响应示例 状态码: 200 表示成功获取指定集群的证书。证书文件格式参见kubernetes v1.Config结构 { "kind" : "Config"
通过X509证书连接集群 操作场景 通过控制台获取集群证书,使用该证书可以访问Kubernetes集群。 操作步骤 登录CCE控制台,单击集群名称进入集群。 查看集群总览页,在右边“连接信息”下证书认证一栏,单击“下载”。 图1 获取证书 在弹出的“证书获取”窗口中,根据系统提示
不同的安全证书。开启SNI后,允许客户端在发起TLS握手请求时就提交请求的域名信息。负载均衡收到TLS请求后,会根据请求的域名去查找证书:若找到域名对应的证书,则返回该证书认证鉴权;否则,返回缺省证书(服务器证书)认证鉴权。 转发策略配置:请求的访问地址与转发规则匹配时(转发规则
的EIP配置DDoS高防服务或配置API Server访问策略。 绑定EIP将会短暂重启集群API Server并更新kubeconfig证书,请避免在此期间操作集群。 单击“确定”。 配置API Server访问策略 集群的API Server绑定EIP将会暴露到互联网,存在被
黑名单:所选IP地址组无法访问ELB地址。 证书来源:支持TLS密钥和ELB服务器证书。 服务器证书:负载均衡器创建HTTPS协议监听时需要绑定证书,以支持HTTPS数据传输加密认证。 TLS密钥:创建密钥证书的方法请参见创建密钥。 ELB服务器证书:使用在ELB服务中创建的证书。 同一个ELB实例的
CCE中设置的环境变量与Dockerfile中的“ENV”效果相同。 容器启动后,容器中的内容不应修改。如果修改配置项(例如将容器应用的密码、证书、环境变量配置到容器中),当容器重启(例如节点异常重新调度Pod)后,会导致配置丢失,业务异常。 配置信息应通过入参等方式导入容器中,以免重启后配置丢失。
集群管理(Autopilot) 创建集群 获取指定的集群 获取指定项目下的集群 更新指定的集群 删除集群 获取集群证书 获取任务信息 绑定、解绑集群公网apiserver地址 获取集群访问的地址 父主题: API
描述 max_write 131072 仅配置big_writes的情况下才生效,推荐使用128KB。 ssl_verify_hostname 0 不根据主机名验证SSL证书。 max_background 100 可配置后台最大等待请求数。并行文件系统自动使用。 umask 0
dmission-create 开启webhook功能后,创建证书用于webhook验证。 Job cceaddon-nginx-ingress-admission-patch 开启webhook功能后,将创建出的证书更新到webhook配置中。 Job 父主题: 插件
使用CloudShell连接集群 CloudShell是一款用于管理与运维云资源的网页版Shell工具,CCE支持使用CloudShell连接集群,如图1所示,单击“命令行工具”即可在CloudShell中使用kubectl访问集群。 CloudShell中kubectl证书有效期为1天,从云容器引擎重新跳转可以重置有效期。
Server可以调用Kubernetes原生API。 获取集群证书及API Server。 方式一:通过获取集群证书API获取,将返回的信息保存至kubeconfig.json文件中,并提取证书、私钥和API Server信息,命令如下。 # 获取证书并保存为client.crt cat ./kubeconfig
仓库的账号和密码。 当密钥为kubernetes.io/tls或IngressTLS类型时,上传证书文件和私钥文件。 说明: 证书是自签名或CA签名过的凭据,用来进行身份认证。 证书请求是对签名的请求,需要使用私钥进行签名。 密钥标签 密钥的标签。键值对形式,输入键值对后单击“确认添加”。
连接集群 通过kubectl连接集群 通过CloudShell连接集群 通过X509证书连接集群 配置集群API Server公网访问 父主题: 集群
集群中可能已使用即将废弃的API,但未在过去一天的审计日志中体现,请您充分排查。 8 HTTPS类型负载均衡证书一致性检查异常处理 检查HTTPS类型负载均衡所使用的证书,是否在ELB服务侧被修改。 9 Pod配置检查 检查Pod配置是否存在兼容性限制。 父主题: 升级前检查异常问题排查
K8s废弃资源检查异常处理 cce-hpa-controller插件限制检查异常处理 K8s废弃API检查异常处理 HTTPS类型负载均衡证书一致性检查异常处理 Pod配置检查 父主题: 升级集群
改。 customSan 否 Array of strings 集群的API Server服务端证书中的自定义SAN(Subject Alternative Name)字段,遵从SSL标准X509定义的格式规范。Autopilot集群暂不支持。 不允许出现同名重复。 格式符合IP和域名格式。
一个虚拟私有云拥有路由数量 100 对等连接数量 50 网络ACL数量 200 弹性负载均衡 弹性负载均衡数量 50 弹性负载均衡监听器数量 100 弹性负载均衡证书数量 120 弹性负载均衡转发策略数量 500 弹性负载均衡后端主机组数量 500 弹性负载均衡后端服务器数量 500 VPC终端节点 终端节点数量
权限管理 CCE Autopilot集群权限管理是在统一身份认证服务(IAM)与Kubernetes的角色访问控制(RBAC)的能力基础上,打造的细粒度权限管理功能,支持基于IAM的细粒度权限控制和IAM Token认证,支持集群级别、命名空间级别的权限控制,帮助用户便捷灵活的对
码。 customSan 否 Array of strings 集群的API Server服务端证书中的自定义SAN(Subject Alternative Name)字段,遵从SSL标准X509定义的格式规范。Autopilot集群暂不支持。 不允许出现同名重复。 格式符合IP和域名格式。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
