使用cert-manager实现Ingress https

最新推荐文章于 2024-09-16 16:35:13 发布
最新推荐文章于 2024-09-16 16:35:13 发布
阅读量356 收藏 2
点赞数
分类专栏: K8s 文章标签: https 网络协议 http
原文链接:https://www.cnblogs.com/cheyunhua/p/10768067.html
版权
📌 原文链接: https://www.cnblogs.com/...

什么是https

超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。

为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。

什么是cert-manager

cert-manager 是一个云原生证书管理开源项目,用于在 Kubernetes 集群中提供 HTTPS 证书并自动续期,支持 Let’s Encrypt, HashiCorp Vault 这些免费证书的签发。在Kubernetes集群中,我们可以通过 Kubernetes IngressLet’s Encrypt 实现外部服务的自动化 HTTPS

Kubernetes集群中使用 HTTPS 协议,需要一个证书管理器、一个证书自动签发服务,主要通过 Ingress 来发布 HTTPS 服务,因此需要Ingress Controller并进行配置,启用 HTTPS 及其路由。

环境依赖

  • 本文使用 Helm 安装,所以请确保 Helm 已安装,且版本最好>2.10
  • 集群必须已经装有 Ingress Controller
  • 外部客户端配置hostsIP 指向 Ingress Controller 对外暴露的地址(如果IP是公网地址并做了域名解析,则无需配置)

部署cert-manager

使用helm安装cert-manager

安装 CustomResourceDefinition资源

kubectl apply \
-f https://raw.githubusercontent.com/jetstack/cert-manager/release-0.7/deploy/manifests/00-crds.yaml

创建cert-manager namespace

kubectl create namespace cert-manager

标记cert-Manager命名空间以禁用资源验证

kubectl label \
namespace cert-manager \
certmanager.k8s.io/disable-validation=true

添加 Jetstack Helm repository

helm repo add jetstack https://charts.jetstack.io

更新本地Helm chart repository

helm repo update

使用Helm chart安装cert-manager

helm install \
--name cert-manager \
--namespace cert-manager \
--version v0.7.0 \
jetstack/cert-manager

查看cert-manager部署结果

# kubectl get pods --namespace cert-manager
NAME                                       READY   STATUS    RESTARTS   AGE
cert-manager-5658b7db79-824lt              1/1     Running   0          11h
cert-manager-cainjector-768fd47f68-ls6zh   1/1     Running   0          11h
cert-manager-webhook-5b4bc6b547-8qk2v      1/1     Running   0          11h

创建ClusterIssuer

需要先创建一个签发机构,cert-manager 提供了 IssuerClusterIssuer 两种用于创建签发机构的自定义资源对象:

  • Issuer 只能用来签发自己所在 namespace 下的证书,
  • ClusterIssuer 可以签发任意 namespace 下的证书。

创建issuer.yaml

这里以 ClusterIssuer 为例创建一个签发机构:

# cat issuer.yaml 
apiVersion: certmanager.k8s.io/v1alpha1
kind: ClusterIssuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: xxxx@126.com
    privateKeySecretRef:
      name: letsencrypt-prod
    http01: {}

说明:

  • metadata.name 是我们创建的签发机构的名称,后面我们创建证书的时候会引用它
  • spec.acme.email 是你自己的邮箱,证书快过期的时候会有邮件提醒,不过 cert-manager 会利用 acme 协议自动给我们重新颁发证书来续期
  • spec.acme.server 是 acme 协议的服务端,我们这里用 Let’s Encrypt,这个地址就写死成这样就行
  • spec.acme.privateKeySecretRef 指示此签发机构的私钥将要存储到哪个 Secret 对象中,名称不重要
  • spec.acme.http01 这里指示签发机构使用 HTTP-01 的方式进行 acme 协议 (还可以用 DNS 方式,acme 协议的目的是证明这台机器和域名都是属于你的,然后才准许给你颁发证书)

部署

kubectl apply -f issuer.yaml

查看clusterissuer创建结果

# kubectl get clusterissuer
NAME               AGE
letsencrypt-prod   11m

创建Certificate

有了签发机构,就可以生成免费证书了,cert-manager 提供了 Certificate

Certificate用于生成证书的自定义资源对象,它必须局限在某一个 namespace 下,证书最终会在这个 namespace 下以 Secret 的资源对象存储。

创建一个 Certificate 对象:

cert.yaml: 

# cat cert.yaml 
apiVersion: certmanager.k8s.io/v1alpha1
kind: Certificate
metadata:
  name: dashboard-imroc-io
  namespace: istio-system
spec:
  secretName: dashboard-imroc-io
  issuerRef:
    name: letsencrypt-prod
    kind: ClusterIssuer
  dnsNames:
  - istio.kiali.com
  acme:
    config:
    - http01:
        ingressClass: traefik
      domains:
      - istio.kiali.com

说明:

  • spec.secretName 指示证书最终存到哪个 Secret 中
  • spec.issuerRef.kind 值为 ClusterIssuer 说明签发机构不在本 namespace 下,而是在全局
  • spec.issuerRef.name 创建的签发机构的名称 (ClusterIssuer.metadata.name)
  • spec.dnsNames 指示该证书的可以用于哪些域名
  • spec.acme.config.http01.ingressClass 使用 HTTP-01 方式校验该域名和机器时,cert-manager 会尝试创建Ingress 对象来实现该校验,如果指定该值,会给创建的 Ingress 加上 annotation: kubernetes.io/ingress.class ;如果 Ingress Controllertraefik Ingress Controller,该字段可以让创建的 Ingresstraefik Ingress Controller 处理。
  • spec.acme.config.http01.domains 指示该证书的可以用于哪些域名

执行部署命令

kubectl apply -f cert.yaml

查看certificate创建结果

# kubectl get certificate -n istio-system
NAME                 AGE
dashboard-imroc-io   54s

排查问题

执行上述步骤,如有问题,可使用如下命令排查原因

$. kubectl describe \
-n istio-system \
certificate dashboard-imroc-io

$. kubectl describe \
clusterissuer letsencrypt-prod

查看生成的secret 结果

# kubectl get secret -n istio-system | grep dashboard-imroc-io
dashboard-imroc-io      kubernetes.io/tls    3      2m32s

测试Ingress使用https

创建一个nginx ingress

test-nginx.yaml

# cat test-nginx.yaml 
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: my-nginx
spec:
  replicas: 1
  template:
    metadata:
      labels:
        run: my-nginx
    spec:
      containers:
      - name: my-nginx
        image: nginx
        ports:
        - containerPort: 443
---
apiVersion: v1
kind: Service
metadata:
  name: my-nginx
  labels:
    app: my-nginx
spec:
  ports:
  - port: 443
    protocol: TCP
    name: https
  selector:
    run: my-nginx
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: my-nginx
  annotations:
    kubernetes.io/ingress.class: "traefik"
    kubernetes.io/tls-acme: "true"
    certmanager.k8s.io/cluster-issuer: "letsencrypt-prod"
spec:
  rules:
  - host: test.nginx.com
    http:
      paths:
      - backend:
          serviceName: my-nginx
          servicePort: 443
        path: /
  tls:
  - secretName: dashboard-imroc-io
    hosts:
    - test.nginx.com

需要注意的是上面添加的两个annotations非常重要,这个将告诉 Cert Manager 去生成证书,由于要使用 HTTPS,需要添加一个 tls 证书,证书就是通过k8sui-tls这个 Secret 对象来提供的,注意这个 Secret 对象并不是手动创建的,而是 Cert Manager自动创建的证书对应的对应。

创建资源对象

然后直接创建这个资源对象即可:

kubectl apply -f test-nginx.yaml

查看Ingress资源对象

创建完成后过一段时间会看到多出现一个随机名称的 Ingress 对象,该对象即是用来专门验证证书的。

# kubectl get ingress -n istio-system
NAME                        HOSTS                    ADDRESS   PORTS     AGE
cm-acme-http-solver-z562f   test.nginx.com                     80        62s

可以通过 TraefikDashboard 可以观察到这一变化,验证成功后,这个 Ingress 对象也自动删除了:

查看Ingress 对象详情

describe Ingress 对象,查看有无报错

kubectl describe ingress my-nginx

查看 Cert manager 的 Pod 日志信息

同样我们可以去查看 Cert manager 的 Pod 日志信息:

$. kubectl logs \
-f cert-manager-5658b7db79-824lt \
--namespace cert-manager

最后,打开浏览器使用https访问服务

到这里就完成了使用Let’s Encrypt实现Kubernetes Ingress自动化 HTTPS

参考资料

项目地址:GitHub - cert-manager/cert-manager: Automatically provision and manage TLS certificates in Kubernetes

文档地址:https://cert-manager.readthedocs.io

风情客家__
关注
专栏目录
Cert-Manager:Kubernetes 集群中的证书管理利器
最新发布
TechEnthusiast的博客
10-28 117
Cert-Manager 是一个开源的云原生证书管理工具,专为 Kubernetes 和 OpenShift 设计。它将 X.509 证书管理转化为声明式的 Kubernetes 资源,使得证书管理变得简单和自动化。
cert-manager - kubernetes 集群中 TLS 证书管理工具
以梦为马|越骑越傻
09-16 593
过两分钟检查一下服务是不是都起来了,这个主要看网络,看镜像的拉取速度了,默认的 namespace 是 cert-manager。查看 secret 就可以看到是否创建成功了。yaml 里面安装的 rbac 比较多。看到上面创建的 secret 了。检查是否有 crds 了。总共启动了三个 pod。
Kubernetes之scert-manager证书控制器(证书自动颁发)
weixin_43357497的博客
12-14 1293
cert-manager证书控制器 cert-manager作为一系列部署资源在Kubernetes集群中运行。它 CustomResourceDefinitions 用于配置证书颁发机构和请求证书。 它使用常规的YAML清单进行部署,就像Kubernetes上的任何其他应用程序一样。 部署证书管理器后,您必须配置Issuer或ClusterIssuer 代表证书颁发机构的资源。有关配置不同Issuer类型的更多信息,请参见各自的配置指南。 注意:从cert-managerv0.14.0开始,Kubern
手把手教你使用 cert-manager 签发免费证书
热门推荐
吉小白的博客
10-27 1万+
概述 随着 HTTPS 不断普及,越来越多的网站都在从 HTTP 升级到 HTTPS使用 HTTPS 就需要向权威机构申请证书,需要付出一定的成本,如果需求数量多,也是一笔不小的开支。cert-manager 是 Kubernetes 上的全能证书管理工具,如果对安全级别和证书功能要求不高,可以利用 cert-manager 基于 ACME 协议与 Let's Encrypt 来签发免费证书并自动续期,实现永久免费使用证书。 cert-manager 工作原理 cert-manager 部署到 K
cert-manager使用
Blue summer的博客
07-31 2656
使用Let’sEncrypt时,我们知道由它颁发的证书有效期只有90天,因此最好是使用自动化方式去申请和续期。而cert-manager可以将certificates和certificateissuers作为资源类型添加到k8s集群中,这样就能简化证书的申请,续期等操作,它可以确保证书有效并在证书过期前一段时间(可配置)对证书进行续期。cert-manager除了支持Let’sEncrypt,还支持HashiCorpVault,Venafi以及私有PKI。...
CertManager.rar
12-19
CertManager pfx 你可以使用自己的证书进行签名打包等一系列操作,由于自己的证书可以设置私钥,这样具有很高的安全性。 制作方法 1. 下载我提供的压缩包,解压到任意目录 创建一个自己签署的证书和一个私钥文件用到makecert工具 cd 定位到解压目录
kubernetes运维之-cert-manager自动签发Lets Encrypt证书并通过Ingress实现https网站全自动管理
h5rehre的博客
04-12 1802
云原生时代web业务数量多,维护证书繁琐程度高,大多是重复劳动,如何解决复杂的证书管理疑难杂症?
k8s-证书管理之cert-manager自动生成证书_cert-manager
2401_84254011的博客
04-15 1145
issuer与clusterissuer两个签发资源,issuer只能在同一命名空间内签发证书,clusterissuer可以在所有命名空间内签发证书。上面用的是cert-manager的自签证书做为CA,也可以自已定义个CA放在secret里,然后做为clusterissuer来进行后续的签发。在注解中定义cert-manager.io/cluster-issuer,并指定clusterissuer的名称;如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
cert-manager-acme-httphook:提供一个Kubernetes运营商来应对cert-manager ACME http-01挑战
03-27
在Kubernetes环境中,证书管理是安全实施的重要环节,特别是对于使用HTTPS进行通信的应用来说。`cert-manager`是一个流行的开源项目...结合`cert-manager`使用,这个解决方案可以帮助企业确保其服务的安全性和合规性。
cert-manager-v0.6.7.tgz
08-03
1. **Ingress TLS**:cert-manager可以与Kubernetes Ingress资源配合,自动为每个Ingress配置TLS证书。 2. **自定义资源**:cert-manager定义了一个名为`Certificate`的自定义资源定义(CRD),用户可以创建这个资源...
k8s中cert-manager管理https证书
椰汁菠萝
02-02 1120
目前https是刚需,但证书又很贵,虽然阿里云有免费的,但没有泛域名证书,每有一个子域名就要申请一个证书,有效期1年,1年一到全都的更换,太麻烦了。经过搜索,发现了自动更新证书神器;当然cert-manager是基于k8s的。
cert-manager:在Kubernetes中自动配置和管理TLS证书
02-02
证书经理 cert-manager是Kubernetes的附加组件,用于自动管理和颁发各种发行来源的TLS证书。 它将确保证书有效并定期更新,并尝试在到期前的适当时间更新证书。 它大致基于的工作,并从其他类似项目(例如借鉴了一些智慧。 文献资料 cert-manager的文档可以在找到。 请确保选择正确版本的文档以在页面右上方查看。 有关文档的问题和PR应在提交。 有关向Ingress资源自动颁发TLS证书(又名替代品)的常见用例,请参阅。 有关,请参阅中的安装。 故障排除 如果您在使用cert-manager时遇到任何问题,我们可以在许多地方尝试获得帮助。 首先,我们建议您查阅文档的。 提出问题最快的方法是先在Slack频道(#cert-manager)上发布。 这个频道中有很多社区成员,您通常可以立即获得问题的答案! 您也可以尝试。 正确搜索现有问题将有助于减少重复的次数,并帮助您更快地找到所需的答案。 在打开问题之前,还请确保通读的相关页面。 您也可以使用页面左上方的搜索框搜索文档。 如果您认为自己已遇到错误,并且找不到与自己的问题相似的现有问题,则可以。 请
cert-manager-cluster-issuers:kustomization组件目标,它将安装两个Cert-Manager ClusterIssuer对象(PSI Public-SIgned-Issuer和SSI Self-Signed-Issuer)
04-12
使用这个组件,用户可以轻松地在 Kubernetes 集群中设置 `Cert-Manager`,以便为服务和 ingress 资源自动获取和管理证书。通过 `cert-manager-cluster-issuers-main` 这个压缩包文件,我们可以预见到它应该包含了...
如何使用 Cert-Manager 快速实现 Kubernetes 应用域名证书自动化续签
easylife206的专栏
05-19 2531
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !​简介Cert-Manager[1]是一款用于 Kubernetes 集群中自动化管理 TLS 证书的开源工具,它使用了 Kubernetes 的自定义资源定义(CRD)机制,让证书的创建、更新和删除变得非常容易。设计理念Cert-Manager 是将 TLS 证书视为一种资源,就像 Pod、Service 和 De...
k8s教程:使用cert-manager证书管理工具在集群中提供https证书并自动续期
学亮编程手记
08-31 3020
cert-manager 是一个云原生证书管理开源项目,用于在 Kubernetes 集群中提供 HTTPS 证书并自动续期,支持 Let’s Encrypt, HashiCorp Vault 这些免费证书的签发。在Kubernetes集群中,我们可以通过 Kubernetes Ingress 和 Let’s Encrypt 实现外部服务的自动化 HTTPS。...
cert-manager:自动化的证书管理利器
gitblog_00347的博客
08-07 483
cert-manager:自动化的证书管理利器 cert-managerCert-Manager 是一个开源的证书管理工具,用于自动管理 TLS 证书和密钥。 * 自动化管理 TLS 证书和密钥、支持多种证书提供商和云原生应用程序。 * 有什么特点:支持多种证书提供商和云原生应用程序、自动化管理 TLS 证书和密钥。项目地址:https://gitcode.com/gh_mirrors/ce...
Kubernetes 中自动管理 TLS 证书:cert-manager 指南
gitblog_01199的博客
08-07 841
Kubernetes 中自动管理 TLS 证书:cert-manager 指南 cert-managerCert-Manager 是一个开源的证书管理工具,用于自动管理 TLS 证书和密钥。 * 自动化管理 TLS 证书和密钥、支持多种证书提供商和云原生应用程序。 * 有什么特点:支持多种证书提供商和云原生应用程序、自动化管理 TLS 证书和密钥。项目地址:https://gitcode.c...
Cert Manager 申请SSL证书流程及相关概念-二
east4ming的博客
01-21 1538
中英文对照表 英文 英文 - K8S CRD 中文 备注 certificates Certificate 证书 certificates.cert-manager.io/v1 certificate issuers Issuer 证书颁发者 issuers.cert-manager.io ClusterIssuer 集群证书颁发者 clusterissuers.cert-manager.io certificate request CertificateRequest 证书申请
cert-manager-csi:为Kubernetes实现自动化签名证书安装
资源摘要信息:"cert-manager-csi: Kubernetes CSI插件可使用临时卷将签名证书自动安装到Pod" Kubernetes CSI(容器存储接口)插件是一个开源项目,允许容器编排系统通过标准接口与不同存储系统对接。在Kubernetes...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值