开发者社区 > PolarDB开源 > 正文

容器服务集群中添加或修改TLS证书但访问时还是默认证书

已解决

容器服务集群中添加或修改TLS证书但访问时还是默认证书

展开
收起
提个问题! 2024-06-10 10:11:36 35 0
1 条回答
写回答
取消 提交回答
  • 开发者社区问答官方账号
    官方回答
    采纳回答
    问题现象
    您已经在集群中添加或修改Secret并在Ingress中指定secretName后,访问集群仍使用了默认的证书(Kubernetes Ingress Controller Fake Certificate)或旧的证书。
    问题原因
    • 证书不是由集群内Ingress Controller返回的。
    • 证书无效,未能被Controller正确加载。
    • Ingress Controller根据SNI来返回对应证书,TLS握手时可能未携带SNI。
    解决方案
    • 通过以下任一方式,确认建立TLS连接时是否携带了SNI字段:
      • 使用支持SNI的较新版本浏览器。
      • 使用openssl s_client命令测试证书时,携带-servername参数。
      • 使用curl命令时,添加hosts或使用--resolve参数映射域名,而不是使用IP+Host请求头的方式。
    • 确认WAF、WAF透明接入或SLB七层监听上没有设置TLS证书,TLS证书应该由集群内Ingress Controller返回的。
    • 在智能运维控制台进行Ingress诊断,观察是否存在配置错误和错误日志。具体操作,请参见使用Ingress诊断功能
    • 执行以下命令,手动查看Ingress Pod错误日志,根据错误日志中相关提示进行修改。
      kubectl logs <ingress pod name> -n <pod namespace>  | grep -E ^[EW]
    2024-06-10 10:11:37
    赞同 1 展开评论 打赏

PolarDB 开源社区是阿里云数据库开源产品PolarDB的技术交流平台。作为一款开源的数据库产品, 离不开用户和开发者的支持, 大家可以在社区针对PolarDB产品提问题、功能需求、交流使用心得、分享最佳实践、提交issue、贡献代码等。为了让社区成员可以更方便的交流, 促进数据库行业的发展, 社区会组织线上和线下的meetup, 举办高校、企业的交流活动, 组织技术类的竞技活动等。欢迎广大的数据库爱好者、用户、开发者加入社区大家庭。

相关电子书

更多
阿里云文件存储 NAS 在容器场景的最佳实践 立即下载
何种数据存储才能助力容器计算 立即下载
《容器网络文件系统CNFS》 立即下载