检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
择手动上传合法证书,以便通过浏览器校验,保证连接的安全性。 自己生成tls.key。 openssl genrsa -out tls.key 2048 将在当前目录生成一个tls.key的私钥。 用此私钥去签发生成自己的证书。 openssl req -new -x509 -key
镜像的所有版本。 签名方式:选择KMS方式。 签名Key:选择一个KMS密钥,该密钥需要与安装插件时的密钥相同。 触发模式: 手动:创建完成签名规则后,需要手动执行规则来对镜像进行签名。 事件触发+手动:可通过事件触发签名动作,也可以手动执行规则对镜像进行签名。 规则描述:填写规则的描述信息。
容器镜像签名验证插件版本发布记录 表1 swr-cosign插件版本记录 插件版本 支持的集群版本 更新特性 1.0.26 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 v1.31 支持v1.31集群 1.0.2 v1.23 v1.25 v1.27 支持v1
当密钥为kubernetes.io/tls或IngressTLS类型时,上传证书文件和私钥文件。 说明: 证书是自签名或CA签名过的凭据,用来进行身份认证。 证书请求是对签名的请求,需要使用私钥进行签名。 密钥标签 密钥的标签。键值对形式,输入键值对后单击“确认添加”。 配置完成后,单击“确定”。
客户端使用了不配套的HTTPS证书链验证ELB Ingress侧配置的HTTPS证书 通过curl命令测试时报错信息如下: SSL certificate problem: unable to get local issuer certificate 请确保客户端中的HTTPS证书链与ELB
为ELB Ingress配置HTTPS证书 Ingress支持配置SSL/TLS证书,以HTTPS协议的方式对外提供安全服务。 当前支持在集群中使用以下方式配置Ingress证书: 使用TLS类型的密钥证书:需要将证书导入至Secret中,CCE会将该证书自动配置到ELB侧(证书
行加密签名。 SK(Secret Access Key):私有访问密钥。与访问密钥ID结合使用,对请求进行加密签名,可标识发送方,并防止请求被修改。 使用AK/SK认证时,您可以基于签名算法使用AK/SK对请求进行签名,也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。
Ingress的HTTPS证书 当您面临ELB Ingress的HTTPS证书即将到期或已经过期的情况时,您可以参考本文指导更新HTTPS证书,以免对您的服务造成不必要的中断。 更新ELB Ingress证书场景 更新证书场景 说明 使用ELB服务中的证书 更新HTTPS证书时,需要在
为Nginx Ingress配置HTTPS证书 Ingress支持配置HTTPS证书以提供安全服务。 请参见通过kubectl连接集群,使用kubectl连接集群。 Ingress支持使用kubernetes.io/tls和IngressTLS两种TLS密钥类型,此处以Ingre
Ingress支持的Service类型请参见ELB Ingress支持的Service类型。 已准备可信的证书,您可以从证书提供商处获取证书。操作详情请参见购买SSL证书。 使用TLS类型的密钥证书配置SNI 您可以使用以下方式使用TLS类型的密钥证书配置SNI。 当使用HTTPS协议时,才支持配置SNI。
Ingress中,gRPC服务只运行在HTTPS端口(默认443)上,因此在生产环境中,需要域名和对应的SSL证书。本示例使用 grpc.example.com和自签SSL证书。 步骤1:创建SSL证书 复制以下内容并保存至openssl.cnf文件中。 [req] distinguished_name
Ingress支持的Service类型请参见ELB Ingress支持的Service类型。 已准备可信的证书,您可以从证书提供商处获取证书。操作详情请参见购买SSL证书。 约束与限制 仅使用独享型ELB时,Ingress支持对接HTTPS协议的后端服务。 对接HTTPS协议的后端服务时,Ingress的对外协议也需要选择HTTPS。
将敏感信息与集群环境解耦,有效避免程序硬编码或明文配置等问题导致的敏感信息泄密。 容器镜像签名验证 容器镜像签名验证插件(swr-cosign)提供镜像验签功能,可以对镜像文件进行数字签名验证,以确保镜像文件的完整性和真实性,有效地防止软件被篡改或植入恶意代码,保障用户的安全。 其他插件
dnsConfig的配置来生成。 此处如果dnsPolicy字段未被指定,其默认值为ClusterFirst,而不是Default。 dnsConfig字段说明: dnsConfig为应用设置DNS参数,设置的参数将合并到基于dnsPolicy策略生成的域名解析文件中。当dnsP
关于两种Ingress类型的详细对比请参见ELB Ingress和Nginx Ingress对比。 ELB Ingress Controller工作原理 CCE自研的ELB Ingress Controller基于弹性负载均衡服务ELB实现公网和内网(同一VPC内)的七层网络访问,通过不同的路径将访问流量分发到对应的服务。
约束与限制 支持1.19.16及以上版本集群。 使用流程 在CCE侧获取集群Service Account Token的签名公钥,操作步骤请参见步骤一:获取CCE集群的签名公钥。 在IAM创建身份提供商,操作步骤请参见步骤二:配置身份提供商。 在工作负载中获取IAM Token模拟IA
云原生成本治理概述 云原生成本治理是基于FinOps理念的容器成本治理解决方案,提供部门维度、集群维度、命名空间维度的成本和资源画像,并通过工作负载资源推荐等优化手段协助企业IT成本管理人员实现容器集群的提效降本诉求。 成本洞察 成本洞察基于真实账单和集群资源用量统计数据,通过自研
下自动使用。 从everest 1.2.40版本开始不再默认设置enable_noobj_cache参数。 sigv2 对象桶 无需填写 签名版本。对象桶自动使用。 public_bucket 对象桶 1 设置为1时匿名挂载公共桶。对象桶只读模式下自动使用。 compat_dir
位,且不能以中划线(-)结尾。 默认取值: 不涉及 uid String 参数解释: 集群ID,资源唯一标识。 约束限制: 创建成功后自动生成,填写无效。在创建包周期集群时,响应体不返回集群ID。 取值范围: 不涉及 默认取值: 不涉及 alias String 参数解释: 集群显示名,用于在
节点,离线作业优先调度到超卖节点。 在线作业预选超卖节点时只能使用其非超卖资源 在线作业只能使用超卖节点的非超卖资源,离线作业可以使用超卖节点的超卖及非超卖资源。 同一调度周期在线作业先于离线作业调度 在线作业和离线作业同时存在时,优先调度在线作业。当节点资源使用率超过设定的驱逐
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
