开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

为什么证书管理器(并允许加密)与ISTIO的集成无法完成HTTP01挑战

证书管理器和ISTIO的集成无法完成HTTP01挑战是因为ISTIO使用了Envoy作为其核心代理，而Envoy不支持HTTP01挑战的验证方式。

HTTP01挑战是Let's Encrypt证书颁发机构使用的一种验证方式，它要求在域名对应的Web服务器上放置一个特定的文件来证明对该域名的控制权。但是ISTIO中的Envoy代理并不具备对文件系统的直接访问权限，无法在运行时修改和访问文件。

要解决这个问题，可以考虑使用DNS01挑战验证方式。DNS01挑战要求在域名的DNS解析记录中添加一个特定的TXT记录来完成验证。通过与DNS服务商的API进行交互，证书管理器可以实现自动化的DNS记录更新，完成域名验证。

另外，腾讯云的SSL证书管理服务（HTTPS证书）可以帮助用户轻松获取和管理SSL证书。它支持多种验证方式，包括HTTP01和DNS01挑战。用户可以通过腾讯云控制台或API接口申请证书，并进行自动续签和管理。具体产品介绍和使用方式可以参考腾讯云SSL证书管理服务的官方文档：SSL证书管理服务介绍。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

使用 Cert-Manager 实现 Ingress Https

什么是 HTTPS 超文本传输协议 HTTP 协议被用于在 Web 浏览器和网站服务器之间传递信息，HTTP 协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了 Web 浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此，HTTP 协议不适合传输一些敏感信息，比如：信用卡号、密码等支付信息。

02

Kubernetes 证书管理系列（一）

这是一个系列文章，将会通过七篇内容和大家一起聊聊 Kubernetes 中的证书管理。

02

Cert Manager 申请 SSL 证书流程及相关概念 - 一

2022.3.9 用 cert-manager 申请成功通配符证书 (*.ewhisper.cn), 2022.4.30 该证书距离过期还有 30 天，cert-manager 进行自动续期，但是却失败了。😱😱😱 然后过了几天，在 2022.5.8, 最终成功了。如下图： 📷 续期成功的 ewhisper.cn 通配符证书正好借着这个情况捋一下 cert-manager 的 SSL 证书申请流程以及过程中涉及到的相关概念。中英文对照表英文英文 - K8S CRD 中文备注 certificates

01

Service Mesh安全：当入侵者突破边界，如何抵御攻击？| CNBPS 2020演讲实录

大家好，我是来自灵雀云的邢海涛，今天演讲的主题是Service Mesh安全，主要从四个方面来跟大家做一下分享。首先介绍Service Mesh 安全需求，然后详细介绍Istio的安全实现，随后介绍两款Service Mesh产品的安全特性：LinkerD 和 Alauda Service Mesh。希望通过这个演讲，让大家了解Istio的无代码侵入，灵活的安全解决方案，启发大家思考自己的安全解决方案，以及如何迁移到Istio的安全模型。

01

手把手教你使用 cert-manager 签发免费证书

roc，腾讯高级工程师，Kubernetes Contributor，热爱开源，专注云原生领域。目前主要负责腾讯云TKE 的售中、售后的技术支持，根据客户需求输出合理技术方案与最佳实践，为客户业务保驾护航。概述随着 HTTPS 不断普及，越来越多的网站都在从 HTTP 升级到 HTTPS，使用 HTTPS 就需要向权威机构申请证书，需要付出一定的成本，如果需求数量多，也是一笔不小的开支。cert-manager 是 Kubernetes 上的全能证书管理工具，如果对安全级别和证书功能要求不高，可以利用

05

Kubernetes中使用mTLS保护微服务通信

微服务架构中，各服务间常有通信交互，以完成复杂业务流程，这给安全性和可扩展性带来挑战。启用双向 TLS(mTLS)可提高安全性，本文将详述 mTLS 的使用入门方法。

01

使用 Cilium 服务网格的下一代相互身份验证

该博客描述了 Cilium 如何在不使用 Sidecar 的情况下提供服务网格。在这篇博客中，我们将扩展 mTLS 的主题，并研究 Cilium 如何提供具有出色安全性和性能特征的基于 mTLS 的无边车身份验证。

01

KubernetesIngress自动化https

随着 HTTPS 不断普及，大多数网站开始由 HTTP 升级到 HTTPS。使用 HTTPS 需要向权威机构申请证书，并且需要付出一定的成本，如果需求数量多，则开支也相对增加。cert-manager 是 Kubernetes 上的全能证书管理工具，支持利用 cert-manager 基于 ACME 协议与 Let’s Encrypt 签发免费证书并为证书自动续期，实现永久免费使用证书。

02

Istio架构、技术栈及适用场景

Istio 是一个开源的服务网格（Service Mesh）平台，设计用于简化微服务架构中的服务间通信和服务管理。其架构主要分为两个核心部分：控制平面（Control Plane）和数据平面（Data Plane）。

01

使用服务网格增强安全性：Christian Posta探索Istio的功能

Istio帮助使“服务网格”概念变得更加具体和可访问，随着Istio 1.0的最新发布，我们可以预期人们对它的兴趣会激增。Jasmine Jaksic在InfoQ之前的一篇文章中很好地介绍了Istio和服务网格，因此我想借此机会介绍Istio的一个特定领域，它将为云服务和应用程序的开发人员和运营商带来巨大的价值:安全性

02

Cilium服务网格的下一代双向认证

该文为前期热门文章《eBPF将如何提供服务网格解决方案--告别sidecar》的后续。其介绍了Cilium提供非sidecar模式的服务网格的解决方案。在本篇文章中，我们将目光扩展到mTLS的主题上，并研究Cilium如何提供基于mTLS非sidecar模式的双向认证，其同时具备出色的安全性和性能优势。

02

eBay基于Istio的应用网关的探索和实践

7月17日，在Cloud Native Days China云原生多云多集群专场，eBay软件工程师陈佑雄发表了《eBay基于Istio的应用网关的探索和实践》主题演讲，分享了eBay在多集群，多环境，大规模的场景下，Istio落地实践的探索和实践。

03

Kubernetes (K8S) 中Traefik自动申请证书

Traefik实现自动申请HTTPS证书要使用Let’s Encrypt自动生成证书，需要使用ACME。需要在静态配置中定义 “证书解析器”，Traefik负责从ACME服务器中检索证书。

04

利用Kubernetes Ingress实现微服务的自动负载均衡与路由

在复杂的微服务架构中，服务的管理和流量调度是一项至关重要的任务。Kubernetes（简称K8s），作为容器编排领域的领导者，通过其强大的资源管理能力，极大地简化了服务的部署与扩展。然而，如何高效地对外暴露这些服务，并实现智能的流量分配，成为了一个新的挑战。Kubernetes Ingress机制正是为此而生，它提供了一种集中式的外部访问策略，支持URL路由、TLS终止以及自动负载均衡等功能。本文将深入探讨Kubernetes Ingress的工作原理，结合实际案例展示如何配置Ingress资源，实现微服务的自动化路由与负载均衡，并通过代码示例加以说明。

01

go：自签名证书管理系统系统设计

要开发一个用于管理自签名证书的程序，我们需要考虑几个关键方面：证书生成、存储、分发和撤销。这个系统将涉及到安全性、易用性和扩展性等多个维度。下面我将为你提供一个详细的设计指南，包括设计模式的选择、系统架构和重要组件的描述。同时，我将提供一张图表来辅助理解整个系统的构架。

01

使用.net和x509证书实现安全

使用.net和x509证书实现安全概述主要针对目前xxx数据交换平台实现安全数据交换的设计方案;本方案通过PKI技术实现对报文加密,加签和证书的管理实现对数据交换安全的功能性需求. PKI技术介绍 PKI是"Public Key Infrastructure"的缩写，意为"公钥基础设施"，是一个用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。PKI利用数字证书标识密钥持有人的身份，通过对密钥的规范化管理，为组织机构建立和维护一个可信赖的系统环境，透明地为应用系统提供身份认证、数据保

08

运维锅总详解ACME协议

ACME作用及工作流程是什么？ACME的实现有哪些？Kubernetes中的cert-manager实现了ACME协议吗？ACME的历史演进又是怎样的？希望阅读完本文，能帮您解答这些疑惑！

01

数字化 IT 从业者知识体系 | 应用技术架构 —— 服务网格架构

2013 年容器技术 Docker 开源，2014 年容器编排工具 Kubernetes 开源。2015 年，云原生计算基金会（CNCF）成立，标志着应用进入云原生时代， 2016 年 9 月 14 日，Envoy 的开源标志着应用技术架构进入到服务网格（Service Mesh）时代，2017 年 5 月 24 日，Google、IBM、Lyft 共同宣布 Istio 开源标志着进入由控制面和数据面组成的服务网格成为主流。Istio 是当前最受欢迎的服务网格技术。

04

数字化 IT 从业者知识体系 | 应用技术架构 —— 服务网格架构

2013 年容器技术 Docker 开源，2014 年容器编排工具 Kubernetes 开源。2015 年，云原生计算基金会（CNCF）成立，标志着应用进入云原生时代， 2016 年 9 月 14 日，Envoy 的开源标志着应用技术架构进入到服务网格（Service Mesh）时代，2017 年 5 月 24 日，Google、IBM、Lyft 共同宣布 Istio 开源标志着进入由控制面和数据面组成的服务网格成为主流。Istio 是当前最受欢迎的服务网格技术。

04

Cert Manager 申请SSL证书流程及相关概念-二

这张图显示了使用 ACME/Let's Encrypt Issuer 的名为cert-1的证书的生命周期:

01

主流云原生微服务API网关成熟度与安全功能对比分析

在整个微服务架构中，API网关充当着非常重要的一环，它不仅要负责外部所有的流量接入，同时还要在网关入口处根据不同类型请求提供流量控制、日志收集、性能分析、速率限制、熔断、重试等细粒度的控制行为。API网关一方面将外部访问与微服务进行了隔离，保障了后台微服务的安全，另一方面也节省了后端服务的开发成本，有益于进行应用层面的扩展。与此同时，API网关也应具备解决外界访问带来的安全问题，例如TLS加密、数据丢失、跨域访问、认证授权、访问控制等。本文尝试分析目前主流的云原生微服务API网关成熟度以及各自具备的安全功能，并比较各自带来的优劣，尤其在安全层面上，开源软件都做了哪些工作，是否全面，若不全面我们又该如何弥补。

01

go：自签名证书管理系统代码结构设计

为了设计一个自签名证书管理系统的代码结构，我们需要确保它既清晰又易于维护。以下是基于Go语言的推荐代码结构，它遵循模块化和清晰的分层原则，确保每个部分都专注于单一职责，同时易于扩展和测试。

01

CA数字签名的由来

上一次内容我们介绍了TLS加密原理，为什么要加密通信呢？是因为我们不希望我们的个人信息被明文传播，任何一个人只要截断我们的物理线路或者入侵到我们网络中，就能获取所有的信息。

01

Kubernetes 上的服务网格技术大比较: Istio, Linkerd 和 Consul

云原生应用通常是由一组运行在容器中的分布式微服务架构起来的。目前越来越多的容器应用都是基于 Kubernetes 的，Kubernetes 已经成为了容器编排的事实标准。

03

【从小白到专家】 Istio技术实践专题（一）：Service Mesh/ Istio 基本概念和架构基础

Istio被称作Kubernetes的最佳云原生拍档。从今天起，我们推出“Istio技术实践”系列专题，在本专题中，我们将通过技术文章+视频授课的方式，为大家详细阐述Istio微服务治理，及在企业级云平台中的解决方案和实践。同时，您还可以申请试用灵雀云基于原生Istio和Kubernetes的微服务产品ASM！

01

Getting Started and Beyond｜云原生应用负载均衡选型指南

冉昕，腾讯云服务网格TCM产品经理，现负责云原生流量接入网关与应用通信可观测性等产品特性策划与设计工作。

06

istio-1：部署与体验istio-1.4.2

istio搁置有一段时间了，并且现在开始介入的是最新版本1.4.2，所以难免有些错误的地方，非常欢迎指正与讨论。

02

手把手教你springboot集成微信支付

最近要做一个微信小程序，需要微信支付，所以研究了下怎么在 java 上集成微信支付功能，特此记录下。

01

istio的安全(概念)

通过将一个单一应用划分为多个原子服务的方式，可以提供更好的灵活性，可扩展性以及重用服务的能力。然而微服务对安全有特殊的要求：

03

详解互联网基石之HTTPS

HTTPS（HyperText Transfer Protocol Secure）是一种用于安全通信的网络传输协议。它是HTTP的加密版本，通过使用TLS（Transport Layer Security）或其前身SSL（Secure Sockets Layer）来加密通信内容。

01

30亿条个人信息被盗，全站HTTPS迫在眉睫

据新华网报道，日前，浙江绍兴市越城区公安分局侦破一起特大流量劫持案，涉案主角瑞智华胜，涉嫌非法窃取用户个人信息30亿条，涉及百度、腾讯、阿里、京东、新浪和今日头条等全国96家互联网公司产品，几乎涵盖了国内主要互联网企业。

03

kubernetes中ingress的种类，以及各种ingress优缺点

在Kubernetes中，有几种Ingress Controller可以选择。以下是其中最常用的几种：

02

Service Mesh: Istio vs Linkerd

根据CNCF的最新年度调查，很明显，很多人对在他们的项目中使用服务网格表现出了浓厚的兴趣，并且许多人已经在他们的生产中使用它们。近69％的人正在评估Istio，64％的人正在研究Linkerd。Linkerd是市场上第一个服务网格，但是Istio使服务网格更受欢迎。这两个项目都是最前沿的，而且竞争非常激烈，因此选择一个项目是一个艰难的选择。在此博客文章中，我们将了解有关Istio和Linkerd体系结构，其运动部件的更多信息，并比较其产品以帮助您做出明智的决定。

02

CNNIC!离我远一点

今天逛论坛居然发现CNNIC被微软和firefox加入了信任证书发布者，我原来还没注意到！CNNIC，你能够被我们信任么？别说给别人签发SSL，你自己值得被信任么？

02

《吐血整理》进阶系列教程-拿捏Fiddler抓包教程(9)-Fiddler如何设置捕获Https会话

由于近几年来各大网站越来越注重安全性都改成了https协议，不像前十几年前直接是http协议直接裸奔在互联网。还有的小伙伴或者童鞋们按照上一篇宏哥的配置都配置好了，想大展身手抓一下百度的包，结果一试傻眼了，竟然毛都没有抓到，怀疑是不是上了宏哥的当了。不是的哈，今天宏哥趁热打铁接着讲解如何抓取https协议会话。

02

【HTTP2.0 协议】就“腾讯云 CDN 针对 HTTP 2.0全面公测”浅谈如何启用 HTTP 2.0协议？

HTTPS 是指超文本传输安全协议（Hypertext Transfer Protocol Secure），是一种在 HTTP 协议基础上进行传输加密的安全协议，能够有效保障数据传输安全。配置 HTTPS 时，需要您提供域名对应的证书，将其部署在全网 CDN 节点，实现全网数据加密传输功能。腾讯云 CDN 目前针对 HTTP2.0 协议支持于2018年01月23号已经全面公测，大家可以结合本攻略直接前往使用。启用 HTTP2.0 协议方式：获得 HTTP2.0 资格的用户，在成功为域名配置了 H

09

服务网格比较：Istio vs Linkerd

本文译自 Service Mesh Comparison: Istio vs Linkerd[1]，作者 Anjul Sahu，译者张晓辉。

02

保护Kubernetes负载：Gateway API最佳实践

利用 Gateway API 作为你可信赖的盾牌,保护你的 Kubernetes 王国。

01

cert-manager 升级成为 CNCF 孵化项目

CNCF 技术监督委员会（TOC）已经投票接受cert-manager[1]作为 CNCF 孵化项目。

02

【译文连载】理解Istio服务网格（第七章安全）

越来越多的现代云原生应用开发体系中都会有好几个独立的开发团队，每个团队采用不同的开发迭代周期，新功能以周或天为单位迭代上线，只对他们自己的任务负责。Istio的使命是从组成整个应用的所有微服务层面，确保一定程度的连续性。Isitio的关键能力之一是实施安全约束，同时对每个服务的逻辑代码透明。有了Istio代理后，你就可以在服务之间的网络层面施加这些约束。

02

Service Mesh在接入层流量管理的应用

[1] https://k8s.io/docs/concepts/services-networking/ingress

04

用 k3s 轻松管理 SSL 证书

在上一篇文章中，我们在 k3s 集群上部署了几个简单的网站。那些是未加密的网站。不错，它们可以工作，但是未加密的网站有点太过时了！如今，大多数网站都是加密的。在本文中，我们将安装 cert-manager 并将其用于在集群上以部署采用 TLS 加密的网站。这些网站不仅会被加密，而且还会使用有效的公共证书，这些证书会从 Let's Encrypt 自动获取和更新！让我们开始吧！

04

万字长文从 0 详解 Istio

- 前言 - 在本教程中，我们将介绍服务网格的基础知识，并了解它如何实现分布式系统架构。我们将主要关注Istio，它是服务网格的一种具体实现。在此过程中，我们将介绍Istio的核心架构。 - 什么是服务网络 - 在过去的几十年中，我们已经看到了单体应用程序开始拆分为较小的应用程序。此外，诸如Docker之类的容器化技术和诸如Kubernetes之类的编排系统加速了这一变化。尽管在像Kubernetes这样的分布式系统上采用微服务架构有许多优势，但它也具有相当的复杂性。由于分

00

【网络安全】网络防护之旅 - Java安全机制探秘与数字证书引爆网络防线

网络安全是一门关注计算机系统和网络安全的专业学科。其首要任务是维护信息系统的核心价值，包括机密性、完整性和可用性，以对抗未经授权的访问、破坏、篡改或泄露的威胁。

01

windows系统基础知识篇，这些你都会用吗？

http://it.rising.com.cn/service/technology/RegClean_download.htm

03

使用 Linkerd 大规模 mTLSing 服务而不影响开发人员的生产力

作者：Christian Hüning，Finleap Connect 云技术与 Switchkit 总监

02

万字长文带你入门 Istio

译文链接： https://zhuanlan.zhihu.com/p/369068128 译者：iyacontrol 来源：分布式实验

04

Istio入门(dignity)

我们将主要关注Istio，它是服务网格的一种具体实现。在此过程中，我们将介绍Istio的核心架构。

01

采纳运行在Kubernetes上的Istio服务网格的利弊分析

IT 团队能否只使用一种工具，使开发人员能够专注于编写应用程序代码，使管理员只专注于 IT 资源的管理？使用 Istio 可以实现，尽管如此，采纳 Istio 前确实需要研究下它的利弊。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭