token Step5: 生成 SSL 证书的 secret //生成自签名 SSL 证书 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=k8s-dashboard.xxx.com" //生成 SSL 证书的 secret kubectl kubectl create secret tls k8s-dashboard-tls --cert=tls.crt --key=tls.key Step6: 重新配置 service vi service.yaml apiVersion: v1 kind: Service metadata: labels: k8s-app: kubernetes-dashboard yaml Step7: 创建 SSL 证书的 secret //生成自签名 SSL 证书 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=k8s-dashboard.xxx.com" //生成 SSL 证书的 secret kubectl

.sock 接口 #信任私有镜像仓库ssl证书，添加或修改以下几行配置 [plugins."io.containerd.grpc.v1.cri".registry.configs] [plugins."io.containerd.grpc.v1.cri".registry.configs."cof-lee.com:5443".tls] insecure_skip_verify ★如果不想配置信任私有镜像仓库，也可将服务器证书添加到操作系统的ca证 书库里 # cat ca.com.crt >> /etc/pki/tls/certs/ca-bundle.crt #将ca证书添加到centos系统证书信任列表中，链接到： /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem ②安装k8s二进制组件 #使用aliyun的源（如果用的是RHEL8系列的系统，也是用的el7的仓库源，因为 apply -f myweb-ingress.yml #应用 ③创建tls类型的ingress资源 先创建tls证书，再把证书做成secret资源，tls类型的ingress不能直接使用私钥和 证书文件，可使用secret资源 # kubectl create secret tls web-inress-secret1 \ --cert=web.xxx.com.crt \ --key=web

应为Node配置集群的公共根证书，以便安全地连接到apiserver。例如，在默认的GCE部署中，提供给kubelet的客户端 凭证采⽤客户端证书的形式。请参阅⽤于⾃动配置kubelet客户端证书的 kubelet TLS bootstrapping 。 希望连接到apiserver的Pod可通过服务帐户安全地进⾏，这样，Kubernetes就会在实例化时，⾃动将公共根证书和有效 的承载令牌注⼊到该Pod中。 kubernetes internet | [ Ingress ] --|-----|-- [ Services ] 可配置Ingress，从⽽提供外部可访问的URL、负载均衡流量、SSL、提供基于名称的虚拟主机等。⽤户通过POST Ingress资源到API Server的⽅式来请求Ingress。 Ingress controller 负责实现Ingress，通常使⽤负载均衡器，也可配置 nd。 TLS 您可以通过指定包含TLS私钥和证书的 secret 来加密Ingress。⽬前，Ingress仅⽀持单个TLS端⼝443，并假定TLS termination（TLS终⽌）。如果Ingress中的TLS配置部分指定了不同的host，那么它们将根据通过SNI TLS扩展指定的 主机名复⽤同⼀端⼝（如果你提供的Ingress Controller⽀持SNI）。TLS secret必须包含名为

Ø如何用HAProxy给HTTPS服务做负载均 衡 Ø 解决方案 ØTCP透传模式 Ø不要用HTTP模式，而要用TCP模式做负载均 衡，TCP可以透传TLS连接 Ø后端服务器都要有服务器证书 ØHAProxy认证模式 ØTLS服务器终点为HAProxy，后端连接为明文 TCP Ø要把服务器证书配置到HAProxy上 OpenStack里MySQL Galera 集群高可用 Ø问题

virtualservices.networking.istio.io apps.k8s.io services.k8s.io route route.core.oam.dev apps.k8s.io tls tls.core.oam.dev apps.k8s.io Workload 与 Trait 注册与发现机制 # 示例：将 Istio VirtualService 注册为平台 的流量管理能力 示例:

orderer0.orgorderer1 | |--- msp | |--- tls | |--- peerOrganizations |--- org1 |--- peer0.org1 |--- msp |--- tls 配置文件 目录结构 cryptogen SACC2017 • 每个节点需要相应的配置文件。 • 通过模板自动生成各个节点的配置文件。