更新时间:2025-04-22 GMT+08:00
通过X509证书连接集群
X509证书是CCE集群中身份验证和通信加密的核心机制。通过X509证书连接集群,能够确保只有经过授权的客户端可以访问集群,同时加密通信数据,防止传输过程中的窃听或篡改,从而保障通信的安全性、身份的真实性以及访问的合法性。如果您需要通过X509证书连接集群,需提前在控制台获取集群证书,并使用该证书配置客户端以访问CCE集群。
使用X509证书连接集群
- 登录CCE控制台,单击集群名称进入集群。
- 查看集群“概览”页,在右边“连接信息”模块的“证书认证”中,单击“下载”。
图1 获取证书
- 在弹出的“证书获取”窗口中,根据系统提示选择证书的过期时间并下载集群X509证书。
- 下载的证书包含client.key、client.crt、ca.crt三个文件,请妥善保管您的证书,不要泄露。
- 集群中容器之间互访不需要证书。
- 将X509证书导入客户端中,并使用证书调用Kubernetes原生API。
例如使用curl命令调用接口查看Pod信息,如下所示:
curl --cacert ./ca.crt --cert ./client.crt --key ./client.key https://192.168.0.18:5443/api/v1/namespaces/default/pods/
- ./ca.crt、./client.crt、./client.key分别为client.key、client.crt、ca.crt文件证书的上传路径。
- 192.168.0.18:5443为集群API Server的内网或公网地址。
若回显结果如下,则说明X509证书配置正确且集群的API Server正常运行。
{ "kind": "PodList", "apiVersion": "v1", ...更多集群接口请参见Kubernetes API。
相关操作
如果需要手动吊销集群访问凭证,请参见吊销集群访问凭证。
