ingress 双向认证

最新推荐文章于 2024-01-03 15:15:35 发布
最新推荐文章于 2024-01-03 15:15:35 发布
阅读量1.8k 收藏
点赞数
分类专栏: 虚拟化 文章标签: kubernetes java docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lswzw/article/details/128203061
版权

ingress 双向认证

1、本地生成双向认证证书
一、生成ca证书

openssl req -x509 -sha256 -newkey rsa:4096 -keyout ca.key -out ca.crt -days 3560 -nodes -subj '/CN=China'
# CommonName(CN):标识与证书关联的主机名或所有者,这里通常是发行人的名称。
# days 证书有效期

二、这里生成 crt 类型的证书(用户使用)

openssl req -new -newkey rsa:4096 -keyout client.key -out client.csr -nodes -subj '/CN=China Client'
openssl x509 -req -sha256 -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 02 -out client.crt
# CN 会展示在用户认证的证书页面

三、生成p12证书文件(不使用密码直接回车)

openssl pkcs12 -export -clcerts -inkey client.key -in client.crt -out client.p12 -name "China client"

四、在k8s创建secret

kubectl create secret generic ca-secret --from-file=ca.crt=ca.crt

五、ingress配置

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  annotations:
    kubernetes.io/ingress.class: nginx
    # 指定url,将验证失败的请求重定向到该url
    nginx.ingress.kubernetes.io/auth-tls-error-page: "https://www.baidu.com"
    # 是否将证书传递给后端的服务
    nginx.ingress.kubernetes.io/auth-tls-pass-certificate-to-upstream: "false"
    # 指定root ca 的 secret
    nginx.ingress.kubernetes.io/auth-tls-secret: "<namespace>/ca-secret"
    # 开启客户端认证
    nginx.ingress.kubernetes.io/auth-tls-verify-client: "on"
    # 指定验证证书链的深度
    nginx.ingress.kubernetes.io/auth-tls-verify-depth: "1"
  name: ssl
  namespace: default
spec:
  rules:
  - host: nginx.test.com
    http:
      paths:
      - backend:
          serviceName: nginx
          servicePort: 80
        path: /
  tls:
  # 这里使用三方的安全证书即可
  - hosts:
    - test.com
    secretName: test-com

扩展:
生成私有证书(会提示安全警告)

# 私有证书
openssl req -new -newkey rsa:4096 -keyout server.key -out server.csr -nodes -subj '/CN=*.holderzone.cn'
openssl x509 -req -sha256 -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt

# 创建k8s-secret
kubectl create secret generic tls-secret --from-file=tls.crt=server.crt --from-file=tls.key=server.key
# ingress 配置
  tls:
  - secretName: tls-secret

用户访问,导入上面生成的p12证书即可。

lswzw
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ingress-nginx源码
12-31
ingress-nginx源码
k8s之部署ingress-nginx
mushuangpanny的博客
09-21 941
简介:cloud,云,cloud实在云厂商上部署,阿里云主机,腾讯云主机,云厂商里面有负载均衡器,借其可以实现负载均衡自己搭建的是位于裸机,裸金属baremetal面向裸机 1.2 查看资源 1.3 准备service和pod 创建tomcat-nginx.yaml 运行 运行一个pod 1.4 Http代理—制作转发 创建ingress-http.yaml 创建 访问nginx:http://nginx.mushuang.com:32082/ 解析到ingress运行的
KubeSphere 集群启用免费的泛域名 SSL 证书并实现证书自动更新和分发
KubeSphere
07-19 2925
作者:scwang18,主要负责技术架构,在容器云方向颇有研究。 前言 KubeSphere 集群默认安装的证书是自签发证书,浏览器访问访问会发出安全提醒。本文记录了利用 let's encrytp 泛域名证书实现 Kubernetes 集群外部服务自动证书配置和证书到期自动更新,支持 HTTPS 访问。我们还部署了证书自动分发组件,实现证书文件自动分发到其他 namespace 。 架构 在 KubeSphere 集群中使用 HTTPS 协议,需要一个证书管理器、一个证书自动签发服务 cert.
5.云原生安全之kubesphere应用网关配置域名TLS证书
野心与梦
01-03 1万+
云原生安全之ingress配置域名TLS证书
Ingress双向认证
KaffeeVenus
04-05 1165
时间记录:2020-4-5 ingress作为k8s中的一种访问权限控制,其中可以支持的ngnix的负载,支持https,支持它的双向认证和单向认证,这里记录下使用情况。 一:制作证书 ### 制作根证书 openssl req -newkey rsa:2048 -passout pass:123456 -keyout ca_rsa_private.pem -x509 -days 365 -out...
(转)为 Ingress-nginx 配置双向认证(mtls)
senlin1202的博客
05-15 740
这种格式可以保存证书和私钥,有时我们也把PEM 格式的私钥的后缀改为 .key 以区别证书与私钥。相信 tls 大家都比较熟悉,就是 server 端提供一个授信证书,当我们使用 https 协议访问server端时,client 会向 server 端索取证书认证(浏览器会与自己的授信域匹配或弹出不安全的页面)。Java Key Storage,很容易知道这是 JAVA 的专属格式,利用 JAVA 的一个叫 keytool 的工具可以进行格式转换。这就说明服务端认为我们是不可信的,因为没有携带证书
ingress 密码验证
weixin_30828379的博客
05-05 199
traefik ingress 上面的方式需要引入haprox或者nginx,多引入了一个代理转发层,其实ingress本身就提供了basic auth的支持,在ingress规则中添加额外的认证annotations即可。 首先,我们需要创建用于存储用户名和密码的htpasswd文件 $ htpasswd -bc auth admin admin 然后,然后创建一个基...
Kubernetes 6 ( ingress 服务加密、认证、地址重写 )
qq_38664479的博客
09-27 445
目录一、pandas是什么?二、使用步骤1.引入库 一、pandas是什么? 二、使用步骤 1.引入库
企业运维实战--k8s学习笔记6.Ingress加密、认证以及地址重写
Rabbit_hyl的博客
07-30 754
企业运维实战--k8s学习笔记6.Ingress加密、认证以及地址重写一、Ingress 加密二、Ingress 认证三、Ingress 地址重写 一、Ingress 加密 生成加密密钥 openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=nginxsvc/O=nginxsvc" 创建secrets对应密钥 kubectl create secret tl
ingress controller安装资源
10-19
ingress controller安装镜像和yaml文件
ingress‐controller.yaml
11-08
通过K8S的Ingress资源可以实现类似Nginx的基于域名访问,从而实现Pod的负载均衡访 问。
K8s Ingress的使用
最新发布
01-16
K8s Ingress的使用
ingress-nginx-controller-1.9.yaml
10-18
三处image需要修改(若官方deplo.yaml中的image可以拉取,则不需要改image),另两个文件是测试ingress规则是否生效的yaml。
k8s镜像拉取方式选择-imagePullPolicy
热门推荐
lswzw的博客
05-13 1万+
镜像拉取方式选择 k8s-imagePullPolicy containers: - name: uses-private-image image: $PRIVATE_IMAGE_NAME imagePullPolicy: Always command: [ "echo", "SUCCESS" ] k8s的配置文件中经常看到有imagePullPo...
ingress rewrite 重定向
lswzw的博客
02-25 8899
ingress rewrite 重定向 直接看 ingress.yaml 注解 1、运行2个nginx deploy kubectl apply -f nginx1.yaml -f nginx2.yaml 进入nginx改 /usr/share/nginx/html/index.html kubectl exec -it nginx1-XXXX echo nginx1 > /usr/s...
kubeadm安装高可用K8S-1.19集群(外部etcd方式)
lswzw的博客
10-12 8004
kubeadm安装高可用K8S-1.19集群<外部etcd方式>集群规划初始化工作(master01-master02-node01都须要操作)安装步骤一、安装keepalived创建VIP二、搭建高可用etcd集群三、安装 kubeadm, kubelet 和 kubectl四、初始化master五、将worker节点加入集群六、安装插件flannel、metrics-server七、测试集群 外部二进制搭建etcd集群、系统出问题后还能通过外部etcd做恢复、操作上比直接把etcd放容器内好
Istio 安装
lswzw的博客
03-09 5712
Istio 安装 官方中文文档: https://preliminary.istio.io/zh/docs/setup/getting-started 下载 Istio 下载 Istio,下载内容将包含:安装文件、示例和 istioctl 命令行工具。 访问 Istio release 页面下载与您操作系统对应的安装文件。在 macOS 或 Linux 系统中,也可以通过以下命令下载最新版本的 I...
K8S集群增加新node - kubeadm 生成 token
lswzw的博客
05-13 5547
K8S集群增加新节点 - kubeadm 生成 token 通过kubeadm初始化后,都会提供node加入的token。 但是默认token的有效期为24小时,当过期之后,该token就不可用了。 生成新的token。 [root@k8s-master ~]# kubeadm token create iuv3h7.9yhwvfm9f3phpfcl [root@k8s-master ~]# ku...
ingress host IP时 访问报404错误
lswzw的博客
04-05 5090
ingress host为错误域名或IP访问报404错误 一般ingress。yaml写法如下: apiVersion: extensions/v1beta1 kind: Ingress metadata: name: nginx-test namespace: default spec: rules: - host: test.lswzw.cn #这里都是写固定的域名 h...
qos ingress
09-07
QoS Ingress是一种网络技术,用于在数据包进入网络时为其分配优先级和资源。它用于控制网络流量,并确保高优先级的流量能够获得更好的服务质量。 QoS Ingress通过在网络边缘或接入点实施分类和标记机制,对数据包...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值