基于secret实现nginx的tls认证以及私有镜像仓库的下载认证

最新推荐文章于 2024-04-04 04:43:48 发布
最新推荐文章于 2024-04-04 04:43:48 发布
阅读量185 收藏
点赞数
分类专栏: kubernetes 文章标签: nginx docker kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50589374/article/details/126134522
版权

secret介绍:

Secret 的功能类似于 ConfigMap给pod提供额外的配置信息,但是
Secret是一种包含少量敏感信息例如密码、令牌或密钥的资源对象。

Pod 可以用三种方式的任意一种来使用 Secret:

  • 作为挂载到一个或多个容器卷中的文件(crt文件、 key文件)。
  • 作为容器的环境变量。
  • 由 kubelet 在为 Pod 拉取镜像时使用 (与镜像仓库的认证)。

secret类型:

Secret类型使用场景
Opaque用户定义的任意数据
kubernetes . io/service-account-token ServiceAccount令牌
kubernetes . io/dockercfg~/ . dockercfg 文件的序列化形式
kubernetes . io/dockerconfigjson~/ . docker/config . json 文件的序列化形式
kubernetes . io/basic-auth用于基本身份认证的凭据
kubernetes . io/ssh-auth用于 SSH 身份认证的凭据
kubernetes . io/tls用于 TLS 环境,保存crt证书和key证书
bootstrap . kubernetes . io/token启动引导令牌数据

为nginx提供证书

mkdir certs
cd certs
certs# openssl req -x509 -sha256 -newkey rsa:4096 -keyout ca.key -out ca.crt -days 3560 -nodes -subj '/CN=www.ca.com' 
certs# openssl req -new -newkey rsa:4096 -keyout server.key -out server.csr -nodes -subj '/CN=www.mysite.com' 
certs# openssl x509 -req -sha256 -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt
certs# kubectl create secret tls myserver-tls-key --cert=./server.crt --key=./server.key -n myserver

创建web服务nginx并使用证书

apiVersion: v1
kind: ConfigMap
metadata:
  name: nginx-config
  namespace: application
data:
 default: |
    server {
       listen       80;
       server_name  www.mysite.com;
       listen 443 ssl;
       ssl_certificate /etc/nginx/conf.d/certs/tls.crt;
       ssl_certificate_key /etc/nginx/conf.d/certs/tls.key;

       location / {
           root /usr/share/nginx/html; 
           index index.html;
           if ($scheme = http ){  #未加条件判断,会导致死循环
              rewrite / https://www.mysite.com permanent;
           }  

           if (!-e $request_filename) {
               rewrite ^/(.*) /index.html last;
           }
       }
    }

---
#apiVersion: extensions/v1beta1
apiVersion: apps/v1
kind: Deployment
metadata:
  name: application-myapp-frontend-deployment
  namespace: application
spec:
  replicas: 1
  selector:
    matchLabels:
      app: application-myapp-frontend
  template:
    metadata:
      labels:
        app: application-myapp-frontend
    spec:
      containers:
      - name: application-myapp-frontend
        image: nginx:1.20.2-alpine 
        ports:
          - containerPort: 80
        volumeMounts:
          - name: nginx-config
            mountPath:  /etc/nginx/conf.d/application
          - name: application-tls-key
            mountPath:  /etc/nginx/conf.d/certs
      volumes:
      - name: nginx-config
        configMap:
          name: nginx-config
          items:
             - key: default
               path: mysite.conf
      - name: application-tls-key
        secret:
          secretName: application-tls-key 


---
apiVersion: v1
kind: Service
metadata:
  name: application-myapp-frontend
  namespace: application
spec:
  type: NodePort
  ports:
  - name: http
    port: 80
    targetPort: 80
    nodePort: 30030
    protocol: TCP
  - name: htts
    port: 443
    targetPort: 443
    nodePort: 30029
    protocol: TCP
  selector:
    app: application-myapp-frontend 

#配置hosts 解析:
 vim  /etc/hosts 
 192.168.2.132 www.mysite.com
#编辑配置文件,默认的官方镜像没有加载自定义配置
 vi /etc/nginx/nginx.conf     
 include /etc/nginx/conf.d/*.conf;    
 include /etc/nginx/conf.d/myserver/*.conf; 
#重新加载配置
 nginx -s reload 
#访问方式
https://www.mysite.com:30029

私有仓库镜像认证

存储docker registry的认证信息,在下载私有仓库镜像的时候无需登录可直接下载,有两种方式实现:

1、通过命令创建secret

kubectl create secret docker-registry reg-zhangjw-com-pull-image --docker-server=reg.zhangjw.com --docker-username=admin --docker-password=12345678

2、 通过docker认证文件创建(推荐此种方式)

docker login reg.zhangjw.com --username=admin
kubectl create secret generic reg-zhangjw-com-pull-image --from-file=.dockerconfigjson=/root/.docker/config.json --type=kubernetes.io/dockerconfigjson -n application

示例如下所示:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: application-myapp-frontend-deployment
  namespace: application
spec:
  replicas: 1
  selector:
    matchLabels:
      app: application-myapp-frontend
  template:
    metadata:
      labels:
        app: application-myapp-frontend
    spec:
      containers:
      - name: application-myapp-frontend
        image: reg.zhangjw.com/baseimages/nginx:1.16.1-alpine-perl 
        ports:
          - containerPort: 80
      imagePullSecrets:
        - name: reg-zhangjw-com-pull-image

---
apiVersion: v1
kind: Service
metadata:
  name: application-myapp-frontend
  namespace: application
spec:
  ports:
  - name: http
    port: 80
    targetPort: 80
    nodePort: 30022
    protocol: TCP
  type: NodePort
  selector:
    app: application-myapp-frontend
zhangjwnx
关注
专栏目录
Docker指南⑧〗Docker私有镜像仓库|阿里云|Registry|Harbor
梵高
05-13 2781
Docker私有镜像仓库|阿里云|Registry|Harbor
【云原生】kubernetessecret原理详解与应用实战
最新发布
景天科技苑
06-04 2万+
对于一些敏感数据,如密码、私钥等数据时,要用secret类型。 Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。 Secret可以以Volume或者环境变量的方式使用。 要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里, 或者当 kubelet 为 pod 拉取镜像时使用。
3-4 使用secret实现nginxtls认证
分享云原生,容器,运维等干货知识
08-14 714
HTTPS,也称作HTTP over TLSTLS的前身是SSL。HTTPS比HTTP数据更加完整与安全。但需要到证书颁发机构(Certificate Authority,简称CA)申请证书,一般免费证书很少,需要交费。但公司内部访问https可自签发ca与认证。下面将演示基于secrets为nginx提供tls认证。...
nginx 使用Https自建私有证书(类似12306发的证书)
laker的博客
12-04 1724
目录 一、自建证书制作 二、nginx 支持https搭建(centos) 一、自建证书制作 1、成功截图如下 滴滴滴 2、参考springboot + https 步骤 不一样的是 nginx 使用的文件格式为 crt key 所以 再导出服务端文件的时候 注意选择的类型即可 1、crt 文件 2、key文件导出 把后缀 pem 改成 key 即可,但是没测试过 不改行不行 二、nginx 支持https搭建(centos) 参考网址https://bl...
Nginx SSL私有证书自签,且反代80端口
weixin_34291004的博客
09-17 371
1、创建CA私钥# cd /etc/pki/CA# (umask 077;openssl genrsa -out private/cakey.pem 2048)# ls -l private/ 验证文件2、创建自签证书# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655Coun...
kubectl 命令详解(二十八):create secret tls
youzhouliu的博客
05-07 3545
kubectl create secret tls命令详解。
nginx 使用Https自建私有证书(类似12306发的证书),java基础笔试面试题以及答案
芯_v_648374雨馨博客
04-04 1047
在开头跟大家分享的时候我就说,面试我是没有做好准备的,全靠平时的积累,确实有点临时抱佛脚了,以至于我自己还是挺懊恼的。(准备好了或许可以拿个40k,没做准备只有30k+,你们懂那种感觉吗)如何准备面试?1、前期铺垫(技术沉积)程序员面试其实是对于技术的一次摸底考试,你的技术牛逼,那你就是大爷。大厂对于技术的要求主要体现在:基础,原理,深入研究源码,广度,实战五个方面,也只有将原理理论结合实战才能把技术点吃透。
kubernetes存储(二)——K8S的Secret配置管理(创建、挂载、路径映射、设置环境变量、存储私有仓库认证信息)
Aimee_c的博客
07-01 6918
文章目录1.Secret配置管理介绍2.创建Secret2.1 从文件中创建Secret2.2 编写一个 secret 对象3.将Secret挂载到Volume中4.向指定路径映射 secret 密钥5.将Secret设置为环境变量6.存储docker registry的认证信息 1.Secret配置管理介绍 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使
Harbor私有镜像仓库离线部署-harbor 2.5.3
渡渡甲的博客
07-15 1989
事实上,Harbor是在DockerRegistry上进行了相应的企业级扩展,从而获得了更加广泛的应用,这些新的企业级特性包括管理用户界面,基于角色的访问控制,AD/LDAP集成以及审计日志等,足以满足基本企业需求。2、安装DockerDocker-compose(这里Docker实现安装好了)在线安装从DockerHub下载Harbor相关镜像,因此安装软件包非常小。1、上传下载好的Harbor包和docker-compose。6、现在就可以使用docker-compose进行管理服务。...
Kubernetes(k8s)集群部署七、k8s网络通信+service扩展ingress(TLS认证,地址重写)calico网络插件(允许指定pod访问服务,禁止其他namespace访问服务)
ninimino的博客
03-03 1099
k8s网络通信k8s网络通信1.容器间通信2.pod之间的通信2.1同一节点的pod2.2不同节点的pod之间的通信flannel网络原理flannel支持多种后端:3.pod和service通信4.pod和外网通信5.Service与集群外部客户端的通信ingress创建ingress服务:Ingress TLS 配置Ingress 认证配置(认证之前做好加密)Ingress地址重写calico网络插件:能够解决策略 k8s网络通信 k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有fl
Linux Nginx&HTTPS——构建私有的 CA认证 机构(私有ssl证书安全方案)
weixin_55985097的博客
05-13 1268
构建私有的 CA 机构 CA中心申请证书的流程: 过程: 1、web服务器,生成一对非对称加密密钥(web公钥,web私钥) 2、web服务器使用 web私钥生成 web服务器的证书请求文件,并将证书请求发给CA服务器 3、CA服务器使用 CA的私钥 对 web 服务器的证书请求进行数字签名得到 web服务器的数字证书,并将web服务器的数字证书颁发给web服务器 1、CA 介绍 CA(Certificate Authority)证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者
k8s环境生成自签名证书配置secret tls并配置到浏览器
lucky_ykcul的博客
08-23 2328
最近公司的网站偶尔会出现“network error”的报错导致网页不稳定,打开开发者工具发现报错为“Failed to load resource: net ::ERR_CERT_AUTHORITY_INVALIED”原因为网页存在认证问题。解决措施有三种:1.申请域名购买证书;2.自己生成自签名证书;3.将https访问方式改为http。综合考虑成本和安全因素后决定使用自签名证书来解决此问题。
建立私有CA及Nginx绑定SSL加密
weixin_33748818的博客
04-10 139
生成CA私钥 [root@client03 ~]#cd /etc/pki/CA/ ---------------进入CA目录[root@client03 CA]#(umask 077; openssl genrsa -out private/ca.key 2048)----------生成私钥,可以生成2048或者1024位 Generating RSA private key, 2048 bi...
Nginx下载、安装与使用
lovelife000的博客
10-11 6338
Nginx入门,下载、安装与基本使用
k8s配置管理——secret与configmap
qq_21305943的专栏
08-11 1115
Secret 解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用。Secret:保存加密文件;加密数据并存放在Etcd中,让Pod的容器以挂载Volume方式访问secret 可选参数有三种:generic: 通用类型,通常用于存储密码数据。tls:此类型仅用于存储私钥和证书。docker-registry: 若要保存 docker 仓库认证信息的话,就必须使用此种类型来创建。
Nginx自签名证书的配置
xtkinglong的专栏
08-19 5825
配置了需要输入密码的key后,nginx一直启动不成功,使用的是centos7(PS:不知道和版本什么的有关系没)有如下两种方法进行签名,通过私钥进行签名,输入密码;签名:使用私钥key与公钥csr进行证书server.crt生成的过程称为签名。因为浏览器内置了CA颁发的证书,我们是使用自签名进行证书的生成。需要输入密码,刚生成私钥key设置的,111111;如果采用4.2,则不用。然后将key配置改为3、生成解密的私钥key,nginx成功启动。吾日更日省吾身,软件的世界话不多说,撸起袖子敲代码,即可!
Kubernetes实战 如何创建ingress tls secret?
xiliangMa的博客
06-08 3070
自签名证书: 生成私钥: openssl genrsa -out rest.key 2048 生成证书: openssl req -new -x509 -key rest.key -out rest.crt -subj /C=CN/ST=Beijing/L=Biejing/O=DevOpes/CN=restapi.test.com 创建secret 通过rancher 创建: 查看: 通过...
Kubernetes创建TLS Secret
engchina的专栏
03-21 3649
1, openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=kubernetes.example.com" 2, kubectl create secret tls tls-secret --key tls.key --cert tls.crt -n kube...
容器编排技术 -- Kubernetes kubectl create deployment 命令详解
YunWisdom
08-27 3476
容器编排技术 -- Kubernetes kubectl create deployment 命令详解 1kubectl create deployment 2语法 3示例 4Flags kubectl create deployment 创建具有指定名称的deployment。 语法 $ deployment NAME --image=image [--dry-r...
Docker私有仓库部署与镜像管理
本文主要介绍了如何在Linux系统上设置和管理Docker私有仓库,以及如何删除本地仓库中的镜像。首先,我们关注于私有仓库的安装步骤。 1. **Docker私有仓库安装** - **启动Docker服务**:确保Docker服务已经启动,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值