I am a Technical Support Engineer based in mainland China, dedicated to helping users and teams efficiently resolve complex technical issues.
NeuVector 包含用于 Manager(控制台/UI 访问)、Controller(REST API、内部通信)、Enforcer(内部通信)和 Scanner(内部通信)的通信加密证书。
NeuVector v5.4.2 及更高版本要求在使用 NeuVector 前生成/替换内部证书。2025 年 3 月之后,NeuVector v5.4.2 之前的版本也要求在使用 NeuVector 前生成/替换内部证书。
参考文档:https://open-docs.neuvector.com/5.4/deploying/production/internal
Rancher 生成 kubeconfig 使用 FQDN 时出现报错问题
通过 Rancher 创建的 RKE、RKE2、K3s 集群均支持开启 Authorized Cluster Endpoint(ACE)。开启 ACE 后,Rancher 生成的 kubeconfig 可以将上下文切换为 FQDN,从而直接访问下游 RKE、RKE2 或 K3s 集群,无需通过 Rancher 进行代理转发。
开启 ACE 后,下游集群会在 cattle-system 命名空间中运行 kube-api-auth 服务。当 kubeconfig 上下文切换为 FQDN 时,集群 API Server 会通过 kube-api-auth 作为 Webhook 进行身份验证。
在实际环境中,集群可能同时使用多个泛域名,例如:
*.warnerchen.com*.avatar-poc.k8s.warnerchen.com不同泛域名需要绑定不同的 TLS 证书。基于 RKE2 默认集成的 Traefik,并启用 Kubernetes Gateway API,可以通过配置多个 listener 来实现按域名匹配证书。
| Role | Hostname | IP | OS | Kernal |
|---|---|---|---|---|
| Control Plane + ETCD | test-0 | 172.16.16.140 | Ubuntu 22.04.5 LTS | 5.15.0-125-generic |
| Control Plane + ETCD | test-1 | 172.16.16.141 | Ubuntu 22.04.5 LTS | 5.15.0-125-generic |
| Control Plane + ETCD | test-2 | 172.16.16.142 | Ubuntu 22.04.5 LTS | 5.15.0-125-generic |
| Worker | test-3 | 172.16.16.143 | Ubuntu 22.04.5 LTS | 5.15.0-125-generic |