k8s开发基础-配置ingress+tls

已于 2023-10-08 16:16:52 修改
阅读量1.9k 收藏
点赞数
分类专栏: k8s开发基础 k8s-网络 文章标签: kubernetes
于 2022-03-24 20:25:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/longway111/article/details/123720386
版权

部署一个deployment:
编写yaml文件–deploy.yaml:
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: hello-deploy
spec:
  replicas: 10
  selector:
    matchLabels:
      app: hello-world
  minReadySeconds: 10
  strategy:
    type: RollingUpdate
    rollingUpdate:
      maxUnavailable: 1
      maxSurge: 1
  template:
    metadata:
      labels:
        app: hello-world
    spec:
      containers:
      - name: hello-pod
        image: nigelpoulton/k8sbook:latest
        ports:
        - containerPort: 8080
————————————————
apiversion:指定api版本
kind:指定类型,这里是deployment
metadata:deployment的标签,定义了它的名字为hello-deploy
spec:spec一下都是pod相关的内容。
replicas:副本数量,就是pod数量
selector:deploy管理这个pod的选择标签。这里定义了一个标签app:hello-world
minReadySeconds:最小的准备时间。意思就是每个副本创建之间最小间隔时间,这里为10s
strategy:更新策略。type:更新类型为RollingUpdate。
RollingUpdate:这里有两个定义maxUnavailable和maxSurge。maxUnavailable是最大的不可用的副本,maxSurge是最大的超过期望的副本数的数量。
这里两个都为1,意思是我们deploy定义的副本数是10,一般来说就有10个副本同时可用,但是更新的时候,拿一个来更新操作(maxUnavailable),
就只有9个可用,同时创建一个新的更新pod(maxSurge),就会出现11个副本数。最终结果就是同时有两个pod更新,11-9=2。
如果一个1,一个0的话,应该是一次一个的更新。分别对应下面的两个值。这里我调成了一个1,一个0,所有最大不超过10副本数为0,但是不可用的可以少一个为9。

1.创建证书,web和web1分别对应一个独立的tls证书:

(weops) [root@node201 tls]# openssl genrsa -out web-ingress.key 2048
Generating RSA private key, 2048 bit long modulus
......................................+++
...............................................+++
e is 65537 (0x10001)
(weops) [root@node201 tls]# openssl req -new -key web-ingress.key -out web-ingress.csr -subj "/CN=web.gon.com"
(weops) [root@node201 tls]# openssl x509 -req -days 365 -in web-ingress.csr -signkey web-ingress.key -out web-ingress.crt
Signature ok
subject=/CN=web.gon.com
Getting Private key

(weops) [root@node201 tls]# openssl genrsa -out web1-ingress.key 2048
Generating RSA private key, 2048 bit long modulus
..............+++
..........+++
e is 65537 (0x10001)

(weops) [root@node201 tls]# openssl req -new -key web1-ingress.key -out web1-ingress.csr -subj "/CN=web1.gon.com"
(weops) [root@node201 tls]# openssl x509 -req -days 365 -in web1-ingress.csr -signkey web1-ingress.key -out web1-ingress.crt
Signature ok
subject=/CN=web1.gon.com
Getting Private key

2.创建secret

(weops) [root@node201 tls]# kubectl create secret tls web.gon.com --cert web-ingress.crt --key web-ingress.key
secret/web.gon.com created

(weops) [root@node201 tls]# kubectl create secret tls web1.gon.com --cert web1-ingress.crt --key web1-ingress.key
secret/web1.gon.com created

(weops) [root@node201 tls]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
default-token-jvndx   kubernetes.io/service-account-token   3      62d
web.gon.com           kubernetes.io/tls                     2      4m58s
web1.gon.com          kubernetes.io/tls                     2      3m27s
 

3.创建ingress

红色部分为tls的配置

(weops) [root@node201 ~]# cat ingress.tls.yaml
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: web
spec:
  tls:
  - hosts:
    - web.gon.com
    secretName: web.gon.com
  rules:
  - host: web.gon.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: web        #指定servcie中的名称
            port:
              number: 1080   #指定servcie对应的port端口

4.测试

weopsway
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何在Kubernetes配置Ingress TLS证书
weixin_45363959的博客
12-12 1795
注意: SSL和TLS是一样的,SSL是旧的版本,TLS是新版本的SSL。
K8S系列】第十三讲:Ingress详解
热门推荐
颜淡慕潇
12-23 2万+
NotePortIngressNodePort方式:最大的缺点是会占用很多集群机器的端口,而且需要在外部搭建额外的负载均衡;LB方式:最大的缺点则是每个service一个LB,有点浪费,并且需要k8s之外的支持,【eg:cloud provider】;ingressIngress就是为了解决1,2两种方式的限制,只需要一个NodePort或者一个LB就可以满足所有service对外服务的需求。
kubernetesk8s集群中的ingress(对外服务)规则详解
最新发布
zzzxxx520369的博客
06-05 1283
service的作用体现在两个方面:对集群内部,它不断跟踪pod的变化,更新endpoint中对应pod的对象,提供了ip不断变化的pod的服务发现机制;对集群外部,他类似负载均衡器,可以在集群内外部对pod进行访问。在Kubernetes中,Pod的IP地址和service的ClusterIP仅可以在集群网络内部使用,对于集群外的应用是不可见的。
外部服务发现之 ingress(二)
ccy19910925的博客
01-24 562
上节课给大家展示了traefik的安装使用以及简单的ingress配置方法,这节课我们来学习一下 ingress tls 以及 path 路径在 ingress 对象中的使用方法。 TLS 认证 在现在大部分场景下面我们都会使用 https 来访问我们的服务,这节课我们将使用一个自签名的证书,当然你有在一些正规机构购买的 CA 证书是最好的,这样任何人访问你的服务的时候都是受浏览器信任的证书...
k8s 配置 ingress
weixin_42555971的博客
04-21 1万+
这里写自定义目录标题部署测试备份 部署 参考资料 Ingress-Nginx-github 地址:https://github.com/kubernetes/ingress-nginx Ingress-Nginx 官方地址:https://kubernetes.github.io/ingress-nginx 下载配置文件,如果下载不了,可以看下面的备份 wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deplo
阿里云k8s ingress配置tls并设置自动跳转https
Merandღ的博客
10-27 4512
1.上传证书,在配置管理->保密字典创建tls证书,把申请证书的crt文件和key文件复制到对应的地方 2.在网络->路由创建Ingress,域名填写自己的域名,服务选择创建的service,开启tls并选择上传的对应的证书 设置http自动跳转https,添加ingress-nginx类型注解,nginx.ingress.kubernetes.io/ssl-redirect,值为true,设置后就会强制跳转到https了。 3.默认情况ingress是通过308重定向跳转..
Kubernetes(k8s)集群部署七、k8s网络通信+service扩展ingressTLS,认证,地址重写)calico网络插件(允许指定pod访问服务,禁止其他namespace访问服务)
ninimino的博客
03-03 1084
k8s网络通信k8s网络通信1.容器间通信2.pod之间的通信2.1同一节点的pod2.2不同节点的pod之间的通信flannel网络原理flannel支持多种后端:3.pod和service通信4.pod和外网通信5.Service与集群外部客户端的通信ingress创建ingress服务:Ingress TLS 配置Ingress 认证配置(认证之前做好加密)Ingress地址重写calico网络插件:能够解决策略 k8s网络通信 k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有fl
k8s-config:配置
04-05
"k8s-config" 提到的是与Kubernetes相关的配置管理,这通常涉及到一系列的配置文件和流程,用于定义和管理Kubernetes集群的行为。在这个"配置库"中,我们可能找到了名为"k8s-config-main"的主配置文件或目录,它是...
k8s-lnmp.rar
03-16
在IT行业中,Kubernetes(简称k8s)已经成为容器编排和管理的首选平台,它为企业和开发者提供了高效、可扩展的容器化应用部署及管理能力。本压缩包"K8s-LNMP.rar"是为配合《kubernetes容器集群管理》教程而准备的...
k8s学习资源.zip
06-05
首先,我们可以从“k8s学习资源”这个标题推测,这份资料可能是围绕Kubernetes基础知识、实战操作以及可能的进阶主题展开的。它可能包括了对Kubernetes基本组件的介绍,如Pods(应用实例)、Services(服务发现)...
k8s.zip kubernetes分享
03-30
Kubernetes,通常缩写为k8s,是一种流行的开源容器编排系统,用于自动化容器化应用程序的部署、扩展和管理。这个“k8s.zip kubernetes分享”提供的资源显然是一个全面的Kubernetes学习资料,旨在帮助用户从初学者...
digital-ocean-k8s
03-09
标题 "digital-ocean-k8s" 指的是在 DigitalOcean 平台上部署和管理 Kubernetes (简称 k8s) 的过程。Kubernetes 是一个开源容器编排系统,用于自动化容器化应用的部署、扩展和管理。DigitalOcean 是一家提供云基础...
K8s基础9——服务发现Coredns、Ingress Controller多种暴露方式、TLS+DaemonSet、Headless Services
百慕卿君博客
05-11 2101
1、服务发现机制service dns解析,Coredns工作流程。 2、Ingress Controller service NodePort暴露、宿主机网络共享暴露 3、TLS,https访问,解决弊端问题配合DaemonSet使用。 4、Headless Service无头服务
k8s 负载均衡工具Ingress
GP0000968523的专栏
07-06 1423
Kubernetes Ingress是一种强大的API对象,它允许您将多个服务公开到Internet上,并提供负载均衡、TLS终止和基于主机名的路由等功能。要使用Ingress,您需要安装一个Ingress控制器,并创建一个Ingress对象来定义规则。Ingress对象包含一组规则,每个规则定义了一个主机名和一个或多个路径,以及与之关联的后端服务。使用多个Ingress控制器:如果您有多个服务需要公开,则建议使用多个Ingress控制器。每个服务都可以有自己的主机名,并由不同的Ingress规则处理。
Ingress的概念和原理
个人博客
11-01 1万+
一、What、Why (一) ingress诞生的背景: 到达service所选中的节点上,然后负载均衡到每一个节点上。nodeport虽然提供了对外的方式但也有很大的弊端: 由于servcie的实现方式use_space、iptables、ipvs这三种方式只支持4层协议通信,不支持7层协议,因此nodeport不能代理https(客户端的角度);nodeport需要暴露service所属每个node节点上端口,当需求越来越多,端口数量越多,导致维护成本过高,并且集群不好管理(运维的技术难度)。
k8s nginx ingress配置TLS
weixin_30271335的博客
08-13 4301
在没有配置任何nginx下,k8s的nginx默认只支持TLS1.2,不支持TLS1.0和TLS1.1 默认的 nginx-config(部分可能叫 nginx-configuration)的配置如下: apiVersion: v1 data: allow-backend-server-header: 'true' enable-underscores-in-hea...
k8s-ingress
wutong0824的博客
01-22 1116
证书密钥创建证书,密钥Secret保存密钥信息,部署pod时把secret挂载到podopenssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=nginxsvc/0=nginxsvc"解析:Req:生成证书文件的情况 -x509:生成-x509自签名的证书-sha256:表示使用sha-256算法-nodes:表示生成的密钥不加密-days 365:证书有效期是365
K8s cert-manager配置PKCS12的TLS
Duktig的博客
08-25 1136
K8s cert-manager配置PKCS12的TLS,实现自动化配置的方案。
ingress配置https证书安全通信
砚墨
07-04 1533
HTTPS是安全的HTTP,HTTP 协议中的内容都是明文传输,HTTPS 的目的是将这些内容加密,确保信息传输安全。最后一个字母 S 指的是 SSL/TLS 协议,它位于HTTP 协议与 TCP/IP 协议中间。 HTTPS优势: 1、加密隐私数据:防止您访客的隐私信息(账号、地址、手机号等)被劫持或窃取。 2、安全身份认证:验证网站的真实性,防止钓鱼网站。 3、防止网页篡改:防止数据在传输过程中被篡改,保护用户体验。 4、地址栏安全锁:地址栏头部的“锁”型图标,提高用户信任度。 5、提高SEO排名:提高
k8s部署nginx-ingress
10-13
要在k8s上部署nginx-ingress,可以按照以下步骤进行: 1. 安装helm:`curl https://raw.githubusercontent.com/kubernetes/helm/master/scripts/get > get_helm.sh`,`chmod 700 get_helm.sh`,`./get_helm.sh` 2....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值