本文使用的是10.1版本,需要手动去配置证书,未来版本会考虑进行界面化配置。

一、提前准备

1. 证书需要准备三个文件

  • *.key
  • *.crt
  • *.keystore

2. 需要知道自己创建的微服务是哪个命名空间下的

例如下图:微服务(云套件)命名空间为:icloud-native-10

还可以通过iManager点击所创建的微服务(云套件)名称后,查看URL后面,例如:

http://XXX.XXX.XXX.XX:31100/views/appset/detail.html?type=icloud-native&id=10

二、Keycloak 证书替换

1.命名空间切换到当前微服务(云套件)后,访问K8S UI右上角点击创建按钮

2.创建Keycloak PVC挂载目录

kind: PersistentVolumeClaim

apiVersion: v1

metadata:

  name: pvc-keycloak-certificate-${appsetId}

  labels:

    type: icloud-native

spec:

  accessModes:

    - ReadWriteMany

  resources:

    requests:

      storage: 100Mi

  storageClassName: appset-storage-class-gisappset

其中 ${appsetId} 用实际 id 替换,id 是结尾的数字,比如 icloud-native-10,id 就是 10。

如果储存类有修改,那么用实际的存储类替换,默认使用的是 appset-storage-class-gisappset

创建完成后可以在K8S UI上进行搜索

pvc-keycloak-certificate-10

点击名称

点击存储卷

即可找到物理存储地址

3.将.key和*.crt证书放到上一步物理存储地址,并修改文件名为tls.key 和 tls.crt,其中 tls.key 是私钥,tls.crt 是公钥。

4.给予 tls.key 和 tls.crt 文件权限

chmod 755 *

5.修改keycloak编排文件

kubectl -n icloud-native-${appsetId} edit deploy keycloak

5.1 增加pvc

 volumes:

 - name: certificate

   persistentVolumeClaim:

     claimName: pvc-keycloak-certificate-10

5.2 将 keycloak 容器的 /etc/x509/https 目录挂载到证书目录

  volumeMounts:

  - mountPath: /etc/x509/https

    name: certificate

6.保存退出后,会重新创建Pod

输入:wq ,保存退出并更新编排

:wq

7.Keycloak证书更新,其表现在微服务(云套件)登录。

二、Gateway 证书替换

1.命名空间切换到当前微服务(云套件)后,访问K8S UI右上角点击创建按钮

2.创建Gateway PVC挂载目录

kind: PersistentVolumeClaim

apiVersion: v1

metadata:

  name: pvc-gateway-certificate-${appsetId}

  labels:

    type: icloud-native

spec:

  accessModes:

    - ReadWriteMany

  resources:

    requests:

      storage: 100Mi

  storageClassName: appset-storage-class-gisappset

创建完成后可以在K8S UI上进行搜索

pvc-gateway-certificate-10

点击名称

点击存储卷

即可找到物理存储地址

3.将keystore证书放到上一步物理存储地址。

4.给予*.keystore文件权限

chmod 755 *

5.修改Gateway编排文件

kubectl -n icloud-native-${appsetId} edit deploy iserver-gateway

5.1 增加pvc

   - name: certificate

     persistentVolumeClaim:

       claimName: pvc-gateway-certificate-10

5.2 只保留 gateway 启动脚本

5.3 增加映射目录

- mountPath: /etc/icloud/gateway/config/certificate

  name: certificate

5.4 修改https证书环境配置

  • icn_ext_param_server_ssl_keyAlias 是证书别名
  • icn_ext_param_server_ssl_keyStorePassword 证书密码
  • icn_ext_param_server_ssl_keyStoreType 证书类型,比如PKCS12
  • icn_ext_param_server_ssl_keyStore 证书所在容器路径

6.保存退出后,会重新创建Pod

输入:wq ,保存退出并更新编排

:wq

7.Gateway证书更新,其表现在微服务页面和自己的服务。



(转发请注明出处:http://www.cnblogs.com/zhangyongli2011/ 如发现有错,请留言,谢谢)

iManager微服务(云套件)配置https证书流程步骤的更多相关文章

  1. 在容器服务kubernetes上配置https

    当前容器服务Kubernetes集群支持多种应用访问的形式,最常见形式如SLB:Port,NodeIP:NodePort和域名访问等.但是Kubernetes集群默认不支持HTTPS访问,如果用户希望 ...

  2. spring cloud+dotnet core搭建微服务架构:配置中心(四)

    前言 我们项目中有很多需要配置的地方,最常见的就是各种服务URL地址,这些地址针对不同的运行环境还不一样,不管和打包还是部署都麻烦,需要非常的小心.一般配置都是存储到配置文件里面,不管多小的配置变动, ...

  3. spring cloud+dotnet core搭建微服务架构:配置中心续(五)

    前言 上一章最后讲了,更新配置以后需要重启客户端才能生效,这在实际的场景中是不可取的.由于目前Steeltoe配置的重载只能由客户端发起,没有实现处理程序侦听服务器更改事件,所以还没办法实现彻底实现这 ...

  4. spring cloud+.net core搭建微服务架构:配置中心续(五)

    前言 上一章最后讲了,更新配置以后需要重启客户端才能生效,这在实际的场景中是不可取的.由于目前Steeltoe配置的重载只能由客户端发起,没有实现处理程序侦听服务器更改事件,所以还没办法实现彻底实现这 ...

  5. spring cloud+.net core搭建微服务架构:配置中心(四)

    前言 我们项目中有很多需要配置的地方,最常见的就是各种服务URL地址,这些地址针对不同的运行环境还不一样,不管和打包还是部署都麻烦,需要非常的小心.一般配置都是存储到配置文件里面,不管多小的配置变动, ...

  6. 【转载】网站配置Https证书系列(二):IIS服务器给网站配置Https证书

    针对网站的Https证书,即SSL证书,腾讯云.阿里云都提供了免费的SSL证书申请,SSL证书申请下来后,就需要将SSL证书配置到网站中,如果网站使用的Web服务器是IIS服务器,则需要在IIS服务器 ...

  7. 【转载】网站配置Https证书系列(三):IIS网站设置Http链接直接跳转Https安全连接

    Http链接请求是以明文的方式传输,在传输的过程中很容易被篡改数据,一个典型的例子就是运营商的网络劫持注入广告信息等,而Https请求则是安全加密的请求,报文数据以密文的形式进行传输.当IIS网站配置 ...

  8. (7)go-micro微服务zap日志配置

    目录 一 Zap日志介绍 二 Zap日志安装 三 Zap日志初始化 四 Zap日志重写方法 五 Zap日志使用 六 最后 一 Zap日志介绍 Zap是在 Go 中实现超快.结构化.分级的日志记录. Z ...

  9. 阿里云 nginx配置ssl证书实现https访问

    一,环境说明 服务器系统:ubuntu16.04LTS 服务器IP地址:47.89.12.99 域名:bjubi.com 二,域名解析到服务器 在阿里云控制台-产品与服务-云解析DNS-找到需要解析的 ...

  10. 【转载】网站配置Https证书系列(一):腾讯云申请免费的SSL证书的流程步骤(即https安全连接使用的证书)

    很多网站为了安全性考虑都会上https安全连接,此时就需要考虑使用SSL证书,其实在腾讯云这边提供有免费的SSL证书申请,登录腾讯云管理控制台后,进入SSL证书管理页面,里面有个申请免费证书.腾讯云申 ...

随机推荐

  1. 第一作者解读|我们这篇Nature Communication背后的故事

    2024年7月16日,大暑将至,立秋不远.我们基于Python的转录组学全分析框架的文章--"OmicVerse: a framework for bridging and deepenin ...

  2. 跟着ChatGPT学习设计模式 - 工厂模式

    1. 前言 在工作过程中,越发觉得设计模式的重要性.经常会有人说工作5年的人,大学生随便培训1-2月也能做同样的工作,没错,大学生的确可以做. 但其写的代码,可维护性.可扩展性.添加新功能时方便还是简 ...

  3. vue项目 回到顶部功能 定位在头部

    'backBox'是外层容器类名, 根据传入的index,定位在不同的位置 组件: <template> <div class="toTop" @click=&q ...

  4. 华为matebook 14s笔记本,Chrome浏览器开启硬件加速,屏幕闪屏,黑框,页面屏幕卡死,解决办法

    解决办法使用了 https://zhuanlan.zhihu.com/p/644296061 这个连接下的最后一个折中办法解决! 一.现象 Chrome开启"硬件加速模式"后,在观 ...

  5. top的wa,mpstat的%iowait以及pidstat的%wait

    top的wa,mpstat的%iowait以及pidstat的%wait pidstat 中, %wait 表示进程等待 CPU 的时间百分比.等待 CPU 的进程已经在 CPU 的就绪队列中,处于运 ...

  6. 【Mybatis-Plus】05 条件构造器 ConditionConstructor

    理解: 原来叫条件构造器,我一直以为都是封装条件对象 即SQL的查询条件,不过都一样. 其目的是因为的实际的需求灵活多变,而我们的SQL的筛选条件也需要跟着变化, 但是有一些固定的字段固定的方式可以保 ...

  7. 人形机器人操作系统(开源) —— FreeRTOS

    地址: https://www.freertos.org/zh-cn-cmn-s/index.html

  8. 遗传算法和神经网络融合算法:GA-BP算法流程图

    相关: https://d.wanfangdata.com.cn/periodical/sxgcxb202109004

  9. 电脑时间不同步导致的上网报错:core/proxy/vmess/encoding: failed to read response header > websocket: close 1006 (abnormal closure): unexpected EOF

    报错内容: 2023/12/16 14:08:56 [Warning] [775541588] xxxxx.com/core/app/proxyman/outbound: failed to proc ...

  10. VScode调试C++工程

    相关: Linux环境下配置vscode的C/C++编译环境 本文主要参考: https://zhuanlan.zhihu.com/p/385276301 ====================== ...