更新时间:2023-06-12 GMT+08:00
创建并上传HTTPS协议需要的证书
在配置Ingress访问时,如果对外协议配置的是HTTPS,需要提前配置HTTPS协议需要的证书。
测试场景下创建证书和私钥的操作方法
该方法创建的证书通常只适用于测试场景。
- 执行如下命令生成密钥文件tls.key。
openssl genrsa -out tls.key 2048
命令执行后将在当前目录生成一个tls.key的私钥文件。
生成的密钥格式必须为:
----BEGIN RSA PRIVATE KEY----- …………………………………………….. -----END RSA PRIVATE KEY-----
- 用此私钥去签发生成自己的证书文件tls.crt。
openssl req -new -x509 -key tls.key -out tls.crt -days 3650
根据提示输入国家、省、市、公司、部门、申请人和邮箱,按回车键确认。
生成的证书格式必须为:
-----BEGIN CERTIFICATE----- …………………………………………………………… -----END CERTIFICATE-----
合法购买证书
正式使用时,请申请和购买正式证书,具体操作请参见申请正式证书申请正式证书。
上传证书到CCE中
- 登录CCE控制台,在左侧菜单栏选择“配置中心 > 密钥(Secret)”。
- 单击右侧“添加密钥”。
- 参考表1配置参数,其中“密钥类型”必须选择为“kubernetes.io/tls”,单击“提交”。
图1 配置HTTPS协议使用的密钥
表1 添加密钥说明 参数
说明
密钥名称
新建的密钥的名称,同一个命名空间内命名必须唯一。
部署集群
使用新建密钥的集群。
项目
选择项目。
描述
密钥的描述信息。
密钥类型
新建的密钥类型。
- Opaque:一般密钥类型。
- kubernetes.io/dockerconfigjson:存放拉取私有仓库镜像所需的认证信息。
- kubernetes.io/tls:存放Ingress服务HTTPS协议所需的证书。
- 其它:若需要创建其他类型的密钥,请手动输入密钥类型。
必须选择为“kubernetes.io/tls”。
证书文件
证书文件是自签名或CA签名过的凭据,用来进行身份认证。请上传上面创建或者购买的证书文件。
私钥文件
证书请求是对签名的请求,需要使用私钥进行签名。请上传上面创建或者购买的私钥文件。
标签
标签以Key/value键值对的形式附加到各种对象上(如工作负载、节点、服务等)。
标签定义了这些对象的可识别属性,用来对它们进行管理和选择。
添加标签方法如下:
- 单击“添加更多标签” 。
- 输入键、值。
父主题: 其他
