-newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=k8s-dashboard.xxx.com" //生成 SSL 证书的 secret kubectl create secret tls k8s-dashboard-tls --cert=tls.crt --key=tls.key Step6: 重新配置 service -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=k8s-dashboard.xxx.com" //生成 SSL 证书的 secret kubectl create secret tls k8s-dashboard-tls --cert=tls.crt --key=tls.key Step8: ingressroute ingressroute vi dashboard-tls.yaml apiVersion: traefik.containo.us/v1alpha1 kind: IngressRoute metadata: name: kubernetes-dashboard-tls spec: entryPoints: - websecure routes: -

registry.configs] [plugins."io.containerd.grpc.v1.cri".registry.configs."cof-lee.com:5443".tls] insecure_skip_verify = true #跳过安全认证 #如果下载镜像需要身份验证则配置下面3行，不需要身份验证则不用配置 [plugins ★如果不想配置信任私有镜像仓库，也可将服务器证书添加到操作系统的ca证 书库里 # cat ca.com.crt >> /etc/pki/tls/certs/ca-bundle.crt #将ca证书添加到centos系统证书信任列表中，链接到： /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem ②安装k8s二进制组件 #使用aliyun的源（如果用的是RHEL8系列的系统，也是用的el7的仓库源，因为 apply -f myweb-ingress.yml #应用 ③创建tls类型的ingress资源 先创建tls证书，再把证书做成secret资源，tls类型的ingress不能直接使用私钥和 证书文件，可使用secret资源 # kubectl create secret tls web-inress-secret1 \ --cert=web.xxx.com.crt \ --key=web

应为Node配置集群的公共根证书，以便安全地连接到apiserver。例如，在默认的GCE部署中，提供给kubelet的客户端 凭证采⽤客户端证书的形式。请参阅⽤于⾃动配置kubelet客户端证书的 kubelet TLS bootstrapping 。 希望连接到apiserver的Pod可通过服务帐户安全地进⾏，这样，Kubernetes就会在实例化时，⾃动将公共根证书和有效 的承载令牌注⼊到该Pod中。 kubernetes nd。 TLS 您可以通过指定包含TLS私钥和证书的 secret 来加密Ingress。⽬前，Ingress仅⽀持单个TLS端⼝443，并假定TLS termination（TLS终⽌）。如果Ingress中的TLS配置部分指定了不同的host，那么它们将根据通过SNI TLS扩展指定的 主机名复⽤同⼀端⼝（如果你提供的Ingress Controller⽀持SNI）。TLS secret必须包含名为 secret必须包含名为 tls.crt 和 tls.key 的 密钥，其中包含⽤于TLS的证书和私钥，例如： apiVersion: v1 data: tls.crt: base64 encoded cert tls.key: base64 encoded key kind: Secret metadata: name: testsecret namespace:

Ø如何用HAProxy给HTTPS服务做负载均 衡 Ø 解决方案 ØTCP透传模式 Ø不要用HTTP模式，而要用TCP模式做负载均 衡，TCP可以透传TLS连接 Ø后端服务器都要有服务器证书 ØHAProxy认证模式 ØTLS服务器终点为HAProxy，后端连接为明文 TCP Ø要把服务器证书配置到HAProxy上 OpenStack里MySQL Galera 集群高可用 Ø问题

virtualservices.networking.istio.io apps.k8s.io services.k8s.io route route.core.oam.dev apps.k8s.io tls tls.core.oam.dev apps.k8s.io Workload 与 Trait 注册与发现机制 # 示例：将 Istio VirtualService 注册为平台 的流量管理能力 示例:

orderer0.orgorderer1 | |--- msp | |--- tls | |--- peerOrganizations |--- org1 |--- peer0.org1 |--- msp |--- tls 配置文件 目录结构 cryptogen SACC2017 • 每个节点需要相应的配置文件。 • 通过模板自动生成各个节点的配置文件。