开发者社区 > PolarDB开源 > 正文

容器服务集群中添加或修改TLS证书但访问时还是默认证书

已解决

容器服务集群中添加或修改TLS证书但访问时还是默认证书

展开
收起
提个问题 2024-06-10 10:11:36 42 0
1 条回答
写回答
取消 提交回答
  • 开发者社区问答官方账号
    官方回答
    采纳回答
    问题现象
    您已经在集群中添加或修改Secret并在Ingress中指定secretName后,访问集群仍使用了默认的证书(Kubernetes Ingress Controller Fake Certificate)或旧的证书。
    问题原因
    • 证书不是由集群内Ingress Controller返回的。
    • 证书无效,未能被Controller正确加载。
    • Ingress Controller根据SNI来返回对应证书,TLS握手时可能未携带SNI。
    解决方案
    • 通过以下任一方式,确认建立TLS连接时是否携带了SNI字段:
      • 使用支持SNI的较新版本浏览器。
      • 使用openssl s_client命令测试证书时,携带-servername参数。
      • 使用curl命令时,添加hosts或使用--resolve参数映射域名,而不是使用IP+Host请求头的方式。
    • 确认WAF、WAF透明接入或SLB七层监听上没有设置TLS证书,TLS证书应该由集群内Ingress Controller返回的。
    • 在智能运维控制台进行Ingress诊断,观察是否存在配置错误和错误日志。具体操作,请参见使用Ingress诊断功能
    • 执行以下命令,手动查看Ingress Pod错误日志,根据错误日志中相关提示进行修改。
      kubectl logs <ingress pod name> -n <pod namespace>  | grep -E ^[EW]
    2024-06-10 10:11:37
    赞同 1 展开评论 打赏

PolarDB 是阿里云自研的云原生数据库产品家族,采用存储计算分离、软硬一体化设计,既拥有分布式设计的低成本优势,又具有集中式的易用性,可满足大规模应用场景需求。 2021年,阿里云先后宣布PolarDB PostgreSQL版与PolarDB分布式版开源,并持续推动开源版本迭代和演进,助力开发者通过开源版本快速使用阿里云数据库产品技术,并参与产品迭代中来。 开源历程参见:OpenPolarDB.com/about

热门讨论

热门文章

相关电子书

更多
从Docker到容器服务 立即下载
基于阿里云容器服务 实现Serverless服务 立即下载
容器加速企业创新阿里云容器服务 立即下载