我是 Kubernetes 和 CockroachDB 的新手。我有一个在 Kubernetes 集群上运行的安全多节点数据库，并且能够将其公开到外部并使用 cockroach UI 对其进行监控。

现在我想使用 pg for Node 或sequelize 从节点应用程序访问它。但是我遇到连接超时。

我相信我必须创建一个客户端证书并使用它来建立连接，但我找不到关于如何执行此操作的 Kubernetes 特定文档。 如果有人成功完成此操作，您是如何创建证书的，以及如何在节点应用程序中使用它的？

请您参考如下方法:

我已经找到了如何通过获取为本地 sql 客户端生成的证书并在我的节点应用程序中重新使用它们来做到这一点 - 像这样

const pool = new Pool({ 
  host: 'xxxx', 
  max: 20, 
  idleTimeoutMillis: 30000, 
  connectionTimeoutMillis: 2000, 
  port:26257, 
  user:"root", 
  database:"xxxx", 
  ssl : { 
      rejectUnauthorized : false, 
      ca   : fs.readFileSync("./ca/ca.crt").toString(), 
      key  : fs.readFileSync("./ca/client.xxxx.key").toString(), 
      cert : fs.readFileSync("./ca/client.xxxx.crt").toString() 
  } 
 
}); 

我将公共(public) Pod 作为 kubernetes 中的服务公开，如下所示

kubectl expose service cockroachdb-public --port=26257 --target-port=26257 --name=cp --type=LoadBalancer 

并获取最终分配给服务的外部 IP 地址。

实际上非常简单，但是当你第一次接触它时会感到头疼。感谢那些花时间发表评论的人。

@samstride 刚刚注意到您的评论。使用 root 以外的用户可能会更好，但是您可以像这样获得这些证书(也可能是其他方式)。

ca(如果您仍在运行 cockroachdb-client-secure pod，请使用它)

kubectl exec cockroachdb-client-secure -it -- cat /cockroach-certs/ca.crt  > ./ca.crt 

键

kubectl get secret default.client.root -o jsonpath='{.data.key}' | base64 --decode > client.root.key  

证书

kubectl get secret default.client.root -o jsonpath='{.data.cert}' | base64 --decode > client.root.crt