网站收录少的原因,wordpress加挂载点,kali搭建wordpress,建设法规网站一、背景Dapr 默认证书有效时间是1年#xff0c;证书过期后就不能执行相关控制面和数据面的交互了#xff0c;如下图#xff1a;二、查看证书有效时间通过dapr mtls expiry 看到期时间#xff0c;具体参见命令https://v1-7.docs.dapr.io/reference/cli/dapr-mtls/dapr-mtls…一、背景Dapr 默认证书有效时间是1年证书过期后就不能执行相关控制面和数据面的交互了如下图二、查看证书有效时间通过dapr mtls expiry 看到期时间具体参见命令https://v1-7.docs.dapr.io/reference/cli/dapr-mtls/dapr-mtls-expiry/三、解决方案Dapr 支持使用 Dapr 控制平面、Sentry 服务中央证书颁发机构 (CA)对 Dapr 实例之间的通信进行传输中加密。Dapr 允许运维和开发人员引入他们自己的证书或者让 Dapr 自动创建和保存自签名的根证书和颁发者证书。具体参见https://docs.dapr.io/operations/security/mtls/。Dapr 在1.7版本引入了一个新的命令dapr mtls renew-certificate -k --valid-until days –restart生成全新的根证书和颁发者证书由新生成的私钥签名。Dapr sentry service必须重新启动随后的其余控制平面服务才能读取新证书。这可以通过向--restart命令提供标志来完成。对于 1.7 以下版本, 只能手工进行操作具体可以参考 文档 https://v1-5.docs.dapr.io/operations/security/mtls/#bringing-your-own-certificates 更新完Dapr 证书则必须重新启动 Dapr Sentry 服务然后是 Dapr 控制平面服务的其余部分。kubectl rollout restart deploy/dapr-sentry -n DAPR_NAMESPACE一旦sentry 完全重新启动运行kubectl rollout restart deploy/dapr-operator -n DAPR_NAMESPACEkubectl rollout restart statefulsets/dapr-placement-server -n DAPR_NAMESPACE接下来您必须重新启动所有启用 Dapr 的 pod。推荐的方法是重新启动部署kubectl rollout restart deploy/myapp –n APP_NAMESPACE在成功重新启动所有部署并因此加载新的 Dapr 证书之前由于证书不匹配您将经历潜在的停机时间。1.7 版本以后Dapr 在这个方面做的更完善了为 Dapr 控制平面 mTLS 证书过期设置监控 从 mTLS 根证书到期前 30 天开始Dapr 哨兵服务将发出每小时警告级别的日志指示根证书即将到期。作为在生产中运行 Dapr 的最佳操作实践我们建议为这些特定哨兵服务日志配置监控以便您了解即将到期的证书。从 1.7.0 版开始作为提醒您即将到来的证书到期的附加工具CLI 现在会在您与基于 Kubernetes 的部署交互时打印证书到期状态。
