检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
CERTIFICATE----- 导入证书。 新建TLS密钥时,对应位置导入证书及私钥文件即可。 验证 通过浏览器访问Ingress地址可以正常访问,但因为是自己签发的证书和密钥,所以CA不认可,显示不安全。 图2 验证结果 父主题: 安全加固
访问密码:遵循SWR的长期有效的认证凭证规则,需要用AK和SK来生成,详细说明请参考获取长期有效登录指令。 验证远程证书:建议取消勾选。 配置同步规则。 新建规则 填写如下参数。 名称:自定义。 复制模式:选择“Push-based”,表示把镜像由本地Harbor推送到远端仓库。 源资源过滤器:根据填写的规则过滤Harbor上的镜像。
并使用密钥对SSH登录,需要提前确保临时ECS服务器指定的安全组放开TCP:22端口通道,允许执行机SSH登录。详情请参考安全组配置示例。 制作过程中: 制作镜像的过程中必须按照操作指南进行制作,防止一些不可预期问题出现。 根据基础镜像创建出来的虚机,默认SSH登录用户需要支持sudo
OpenSSH远程代码执行漏洞公告(CVE-2024-6387) OpenSSH是一个基于SSH协议的安全网络通信工具,通过加密所有流量以消除窃听、连接劫持和其他攻击。此外,OpenSSH 还提供大量安全隧道功能、多种身份验证方法和复杂的配置选项,是远程服务器管理和安全数据通信的必备工具。
独享型ELB实例支持配置。 空闲超时时间 客户端连接空闲超时时间。在超过空闲超时时间一直没有请求, 负载均衡会暂时中断当前连接,直到下一次请求时重新建立新的连接。 - 请求超时时间 等待客户端请求超时时间。包括两种情况: 读取整个客户端请求头的超时时长,如果客户端未在超时时长内发送完整个请求头,则请求将被中断。
用于创建控制节点的subnet的IPv4子网ID。 约束限制: 暂不支持IPv6 取值范围: 不涉及 默认取值: 不涉及 获取方法如下: 方法1:登录虚拟私有云服务的控制台界面,单击VPC下的子网,进入子网详情页面,查找IPv4子网ID。 方法2:通过虚拟私有云服务的查询子网列表接口查询。
通过X509证书连接集群 操作场景 通过控制台获取集群证书,使用该证书可以访问Kubernetes集群。 操作步骤 登录CCE控制台,单击集群名称进入集群。 查看集群总览页,在右边“连接信息”下证书认证一栏,单击“下载”。 图1 获取证书 在弹出的“证书获取”窗口中,根据系统提示
SAN通常在TLS握手阶段被用于客户端校验服务端的合法性:服务端证书是否被客户端信任的CA所签发,且证书中的SAN是否与客户端实际访问的IP地址或DNS域名匹配。 当客户端无法直接访问集群内网私有IP地址或者公网弹性IP地址时,您可以将客户端可直接访问的IP地址或者DNS域名通
Pod里面的文件记录了文件的采集位置 节点上umount磁盘挂载路径 Pod写入本地磁盘 重新mount对应目录到Pod中 Buffer里面是待消费的日志缓存文件 节点上直接操作EVS Pod写入本地磁盘 无 无 插件 表7 插件 高危操作 导致后果 误操作后解决方案 后台修改插件相关资源
参见设置环境变量。 数据存储(可选):在容器内挂载本地存储或云存储,不同类型的存储使用场景及挂载方式不同,详情请参见存储。 有状态负载支持“动态挂载”云硬盘,详情请参见在有状态负载中动态挂载云硬盘存储及在有状态负载中动态挂载本地持久卷。 动态挂载通过volumeClaimTemp
执行以下命令创建Ingress路由规则。 kubectl apply -f grpc-ingress.yaml 结果验证 本地安装grpcurl工具后,执行以下命令,验证是否安装成功 ./grpcurl -insecure -servername "grpc.example.com"
路由概述 为什么需要Ingress Service基于TCP和UDP协议进行访问转发,为集群提供了四层负载均衡的能力。但是在实际场景中,Service无法满足应用层中存在着大量的HTTP/HTTPS访问需求。因此,Kubernetes集群提供了另一种基于HTTP协议的访问方式——Ingress。
Ingress支持的Service类型。 已准备可信的证书,您可以从证书提供商处获取证书。操作详情请参见购买SSL证书。 使用TLS类型的密钥证书 您可以使用以下方式配置TLS类型的密钥证书。 通过控制台配置 通过kubectl命令行配置 登录CCE控制台,单击集群名称进入集群。 选择左侧导航栏的“服务”,在右侧选
(Kubernetes RBAC授权)的关系。 使用kubectl连接集群 若您需要从客户端计算机连接到Kubernetes集群,可使用Kubernetes命令行客户端kubectl,您可登录CCE控制台,单击待连接集群名称,在集群总览页面查看访问地址以及kubectl的连接步骤,如图1所示。
SNI证书是一种扩展服务器证书,允许同一个IP地址和端口号下对外提供多个访问域名,可以根据客户端请求的不同域名来使用不同的安全证书,确保HTTPS通信的安全性。 在配置SNI时,用户需要添加绑定域名的证书,客户端会在发起SSL握手请求时就提交请求的域名信息,负载均衡收到SSL请求后,会根据域
表7 User 参数 参数类型 描述 client-certificate-data String 客户端证书。 client-key-data String 包含来自TLS客户端密钥文件的PEM编码数据。 表8 Contexts 参数 参数类型 描述 name String 上下文的名称。
内容由用户决定。资源创建完成后,可在容器工作负载中作为文件或者环境变量使用。 约束与限制 静态Pod中不可使用Secret。 操作步骤 登录CCE控制台,单击集群名称进入集群。 在左侧导航栏中选择“配置与密钥”,选择“密钥”页签,在右上角单击“创建密钥”。 填写参数。 表1 基本信息说明
单向认证:仅进行服务器端认证。如需认证客户端身份,请选择双向认证。 双向认证:双向认证需要负载均衡实例与访问用户互相提供身份认证,从而允许通过认证的用户访问负载均衡实例,后端服务器无需额外配置双向认证。 CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端身份。CA证书又称客户端CA公钥
Engine输入验证错误漏洞公告(CVE-2020-13401) 漏洞详情 CVE-2020-13401漏洞源于IPv6动态分配除提供了IPv6的DHCP技术外,还支持Router Advertisement技术。路由器会定期向节点通告网络状态,包括路由记录。客户端会通过NDP进行自身网络配置。本文介绍该漏洞的影响。
ClusterIP 执行以下命令,创建一个挂载本地持久存储的应用。 kubectl apply -f web-local.yaml 工作负载创建成功后,容器挂载目录下的数据将会持久化保持,您可以参考验证数据持久化中的步骤进行验证。 验证数据持久化 查看部署的应用及本地文件。 执行以下命令,查看已创建的Pod。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
