Kubernetes Ingress 为你的应用提供https服务

已于 2024-04-10 10:41:40 修改
阅读量1.7k 收藏 3
点赞数 1
分类专栏: Service Mesh Istio 文章标签: kubernetes
于 2021-01-04 17:28:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/112186352
版权

Ingress:HTTPS(配置https)

配置HTTPS步骤:

1、准备域名证书文件(来自:openssl/cfssl工具自签或者权威机构颁发

2、将证书文件保存到Secret

kubectl create secret tls blog-ctnrs-com --cert=blog.ctnrs.com.pem --key=blog.ctnrs.com-key.pem

一个数字证书,一个私钥保存在k8s当中

3、Ingress规则配置tls  配置证书,指定 secret的名称

当你创建ingress的时候就会使用在K8s里面保存的证书,会放在ingrsee controll提供服务这里,即server配置相关的证书

cfssl工具获取

[root@k8s-master ~]# mkdir -p SSL
[root@k8s-master ~]# cd SSL/


[root@k8s-master SSL]# chmod o+x cfssl.sh 
[root@k8s-master SSL]# cat cfssl.sh 
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x cfssl*
mv cfssl_linux-amd64 /usr/bin/cfssl
mv cfssljson_linux-amd64 /usr/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo
[root@k8s-master SSL]# ./cfssl.sh

自签CA和颁发域名证书

 这个脚本先使用cfssl自签ca,然后使用这个ca为某个域名生成证书,我这里使用blog.ctnrs.com这个域名生成证书(域名和证书一一对应的,如果不对应即使买的权威认证的证书也会提示不安全)

cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF

cat > ca-csr.json <<EOF
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing"
        }
    ]
}
EOF

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

[root@k8s-master SSL]# ls *.pem
ca-key.pem  ca.pem

这里帮我们生成了两个证书ca-key.pem  ca.pem,这两个证书是我们所需要的ca开头的是自签ca 

为域名颁发证书: 

[root@k8s-master SSL]# cat > blog.ctnrs.com-csr.json <<EOF
> {
>   "CN": "blog.ctnrs.com",
>   "hosts": [],
>   "key": {
>     "algo": "rsa",
>     "size": 2048
>   },
>   "names": [
>     {
>       "C": "CN",
>       "L": "BeiJing",
>       "ST": "BeiJing"
>     }
>   ]
> }
> EOF


[root@k8s-master SSL]# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes blog.ctnrs.com-csr.json | cfssljson -bare blog.ctnrs.com
[root@k8s-master SSL]# ll *.pem
-rw------- 1 root root 1675 Jan  4 16:57 blog.ctnrs.com-key.pem
-rw-r--r-- 1 root root 1314 Jan  4 16:57 blog.ctnrs.com.pem
-rw------- 1 root root 1679 Jan  4 16:54 ca-key.pem
-rw-r--r-- 1 root root 1273 Jan  4 16:54 ca.pem

这两个就是在实际配置当中所用到的证书  blog.ctnrs.com-key.pem,blog.ctnrs.com.pem ,如果配置nginx的域名证书,那么这两个文件就是在nginx当中配置使用的。

上面就准备好了自签证书文件,将证书文件保存在secret当中,将上面两个证书文件放到k8s当中

[root@k8s-master SSL]# kubectl create secret tls blog-ctnrs-com --cert=blog.ctnrs.com.pem --key=blog.ctnrs.com-key.pem
secret/blog-ctnrs-com created

[root@k8s-master SSL]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
blog-ctnrs-com        kubernetes.io/tls                     2      34s
default-token-j9294   kubernetes.io/service-account-token   3      50d

[root@k8s-master SSL]# kubectl describe secret blog-ctnrs-com 
Name:         blog-ctnrs-com
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  kubernetes.io/tls

Data
====
tls.crt:  1314 bytes
tls.key:  1675 bytes

创建测试环境

[root@k8s-master SSL]# cat app.yml 
apiVersion: apps/v1
kind: Deployment
metadata:
  name: web1
  namespace: default
spec:
  replicas: 3
  selector:
    matchLabels:
      app: web1
  template:
    metadata:
      labels:
        app: web1
    spec:
      containers:
      - name: web
        image: nginx:1.18
        ports:
        - containerPort: 80
          name: nginx
          protocol: TCP 
---
apiVersion: v1
kind: Service
metadata:
  name: web1
  namespace: default
spec:
  ports:
  - port: 80       
    protocol: TCP  
    targetPort: nginx 
  selector:
    app: web1      
  type: ClusterIP
[root@k8s-master SSL]# kubectl get pod,svc
NAME                        READY   STATUS    RESTARTS   AGE
pod/web1-5557959468-cnfl8   1/1     Running   0          3m2s
pod/web1-5557959468-vbnvt   1/1     Running   0          3m2s
pod/web1-5557959468-vv999   1/1     Running   0          3m2s

NAME                 TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)   AGE
service/kubernetes   ClusterIP   10.96.0.1       <none>        443/TCP   50d
service/web1         ClusterIP   10.111.27.110   <none>        80/TCP    3m2s
[root@k8s-master SSL]# kubectl get svc
NAME         TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)   AGE
kubernetes   ClusterIP   10.96.0.1       <none>        443/TCP   50d
web1         ClusterIP   10.111.27.110   <none>        80/TCP    5m41s

[root@k8s-master SSL]# kubectl get ep
NAME         ENDPOINTS                                             AGE
kubernetes   192.168.179.102:6443                                  50d
web1         10.244.169.139:80,10.244.169.140:80,10.244.36.77:80   5m42s

 创建ingress规则

[root@k8s-master ~]# cat ingress-https.yml 
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: blog
  annotations:
    nginx.ingress.kubernetes.io/ssl-redirect: "true"
spec:
  tls:
  - hosts: 
    - blog.ctnrs.com             #要和证书的域名对应上
    secretName: blog-ctnrs-com   #替换为您的TLS密钥证书
  rules:
  - host: blog.ctnrs.com         #和域名证书里面的域名保持一致
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: web1     #替换为您的目标服务名称
            port:
              number: 80   #替换为您的目标服务端口

在上述配置中,spec字段下的tls字段指定了使用的TLS证书,其中hosts字段指定了使用证书的域名secretName字段指定了存储证书和密钥的Secret资源的名称。

此外,annotations字段下的nginx.ingress.kubernetes.io/ssl-redirect注解用于启用SSL重定向。这意味着如果客户端使用HTTP协议访问Ingress资源,它将被重定向到使用HTTPS协议的相应资源。

C:\Windows\System32\drivers\etc\hosts      192.168.179.103 blog.ctnrs.com

制作证书的脚本

[root@k8s-master SSL]# cat certs.sh 
cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF

cat > ca-csr.json <<EOF
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing"
        }
    ]
}
EOF

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

cat > blog.ctnrs.com-csr.json <<EOF
{
  "CN": "blog.ctnrs.com",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing"
    }
  ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes blog.ctnrs.com-csr.json | cfssljson -bare blog.ctnrs.com

--------------------------------------------------------------------------------------------------------------------------

 实际环境

[uat:uat]$ kubectl get pod -n ingress-nginx -o wide
NAME                             READY   STATUS    RESTARTS   AGE   IP             NODE              NOMINATED NODE   READINESS GATES
ingress-nginx-controller-g4b5n   1/1     Running   1          20d   10.202.17.34   k8s-uat-node-01   <none>           <none>
ingress-nginx-controller-hvjzr   1/1     Running   1          36d   10.202.17.35   k8s-uat-node-02   <none>           <none>


[uat:uat]$ kubectl get ingress -n  ztoscm-web-env-uat 
NAME                 CLASS   HOSTS                 ADDRESS                     PORTS     AGE
ztoscm-vue-ingress   nginx   scm-uat.ztoky.cn      10.202.17.34,10.202.17.35   80, 443   171d


[uat:uat]$ kubectl get ingress ztoscm-vue-ingress  -n  ztoscm-web-env-uat -o yaml
spec:
  ingressClassName: nginx
  rules:
  - host: scm-uat.ztoky.cn
    http:
      paths:
      - backend:
          serviceName: ztoscm-vue-svc
          servicePort: 80
        path: /
        pathType: Prefix
  tls:
  - hosts:
    - scm-uat.ztoky.cn
    secretName: ztoky.cn
status:
  loadBalancer:
    ingress:
    - ip: 10.202.17.34
    - ip: 10.202.17.35

[uat:uat]$ kubectl get secret  -n  ztoscm-web-env-uat 
NAME                       TYPE                                  DATA   AGE
ztoky.cn                   kubernetes.io/tls                     2      160d


[uat:uat]$ kubectl describe secret ztoky.cn  -n  ztoscm-web-env-uat 
Name:         ztoky.cn
Namespace:    ztoscm-web-env-uat
Labels:       <none>
Annotations:  <none>

Type:  kubernetes.io/tls

Data
====
tls.crt:  6721 bytes
tls.key:  1730 bytes

[uat:uat]$ kubectl describe ingress ztoscm-vue-ingress  -n  ztoscm-web-env-uat 
Warning: extensions/v1beta1 Ingress is deprecated in v1.14+, unavailable in v1.22+; use networking.k8s.io/v1 Ingress
Name:             ztoscm-vue-ingress
Namespace:        ztoscm-web-env-uat
Address:          10.202.17.34,10.202.17.35
Default backend:  default-http-backend:80 (<error: endpoints "default-http-backend" not found>)
TLS:
  ztoky.cn terminates scm-uat.ztoky.cn
Rules:
  Host              Path  Backends
  ----              ----  --------
  scm-uat.ztoky.cn  
                    /   ztoscm-vue-svc:80 (<none>)
Annotations:        field.cattle.io/publicEndpoints:
                      [{"addresses":["10.202.17.34","10.202.17.35"],"port":443,"protocol":"HTTPS","serviceName":"ztoscm-web-env-uat:ztoscm-vue-svc","ingressName...
                    nginx.ingress.kubernetes.io/proxy-body-size: 100m
                    nginx.ingress.kubernetes.io/ssl-redirect: true
Events:             <none>

富士康质检员张全蛋
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
k8s中服务暴露方式---nginx-ingress实现部署(http、https形式)
chang_rj的博客
04-01 1736
1、创建deployment部署模板 apiVersion: extensions/v1beta1 kind: Deployment metadata: name: demo-tomcat-java-demo labels: wayne-app: demo wayne-ns: demo app: demo-tomcat-java-demo spec: selec...
Kubernetes ingress yaml文件包
09-21
Kubernetes Ingress是集群中对外暴露服务的一种标准方式,它允许你定义基于HTTP/HTTPS的路由规则,可以将外部流量根据不同的路径、主机名或端口转发到内部的Service。Ingress并不直接实现这些功能,而是通过Ingress ...
Kubernetes(k8s)的ingress部署https应用
XiaoHH的博客
08-29 1862
Kubernetes当中使用Ingress暴露https应用,内容超详细
k8s 对外服务Ingress(HTTPS/HTTP 代理访问 以及Nginx 进行 BasicAuth )
最新发布
wyq2070857323的博客
06-06 1233
目录一 Ingress HTTP 代理访问虚拟主机(一)原理(二)实验1,准备2,创建虚拟主机1资源3,创建虚拟主机2资源4,创建ingress资源5,查看相关参数6,测试访问二 Ingress HTTPS 代理访问(一)理论(二) 实验1,准备2,创建ssl证书3,创建 secret 资源进行存储 3.1 创建Secret资源​编辑3.2 获取Secret资源信息3.3 查看Secret资源4, 创建 deployment、Service、Ingress Yaml 资源5, 查看配置6,真机做
K8S集群Ingress https实践
weixin_34044273的博客
05-24 298
前文介绍使用ingress结合traefik实现了入口的动静分离,本文将在前文基础上实现ingresshttps配置。 为了简单且高效,建议应用容器化部署之后,https卸载在ingress这一级实现。通俗一点来说就是用户到ingress的连接走https协议,ingress到后端服务的连接走http协议。 我们对https配置要求也比较简单,主要如下:1、http自动重定向到https2、...
Kubernetes Ingress配置HTTPS
少说多做
05-19 7265
简介 K8S的Ingress启用Https 准备: 1.一个https证书,阿里云可以免费申请一个单域名证书,有效期一年 步骤: 1.创建 secret $unzip unzip 3937326_app.*****.com_nginx.zip #该文件就是阿里云上下载下来的证书 $mv 3937326_app.*****.com.pem tls.crt $mv 3937326_app.*****.com.key tls.key $kubectl -n prod create secr...
Kubernetes 使用 ingress 配置 https
梦想起飞的地方.........
04-25 2076
目录 一、背景 1.1 需求 1.2 Ingress 1.3 环境介绍 二、安装部署 2.1、创建后端 Pod 应用 2.2 创建后端 Pod Service 2.3、创建 ingress 资源 2.4、为 Nginx Pod 创建 Service 三、升级为 https 3.1 首先我们要制作证书 3.2、创建 secret 资源 3.3 更改 ingress 资源 3.4 浏览器访问验证 四、ingress 资源介绍 4.1、通过访问...
ingress配置https证书安全通信
砚墨
07-04 1538
HTTPS是安全的HTTP,HTTP 协议中的内容都是明文传输,HTTPS 的目的是将这些内容加密,确保信息传输安全。最后一个字母 S 指的是 SSL/TLS 协议,它位于HTTP 协议与 TCP/IP 协议中间。 HTTPS优势: 1、加密隐私数据:防止您访客的隐私信息(账号、地址、手机号等)被劫持或窃取。 2、安全身份认证:验证网站的真实性,防止钓鱼网站。 3、防止网页篡改:防止数据在传输过程中被篡改,保护用户体验。 4、地址栏安全锁:地址栏头部的“锁”型图标,提高用户信任度。 5、提高SEO排名:提高
Kubernetes Ingress日志分析最佳实践.pptx
10-11
Kubernetes Ingress日志分析是云原生应用程序的重要组件之一。随着容器化和微服务架构的普及,Kubernetes成为企业级容器编排的主要选择。然而,在Kubernetes集群中,日志分析和监控变得越来越复杂。因此,本文将探讨...
kubernetes-ingress
03-08
IngressKubernetes资源,可让您为在Kubernetes上运行的应用程序(由一个或多个表示)配置HTTP负载平衡器。 这样的负载平衡器对于将这些应用程序交付给Kubernetes集群之外的客户端是必需的。 Ingress资源支持以下...
application-gateway-kubernetes-ingress:这是一个入口控制器,可以在Azure Kubernetes服务(AKS)上运行,以允许Azure应用程序网关充当AKS群集的入口
01-29
应用程序网关入口控制器 Application Gateway Ingress Controller(AGIC)是Kubernetes应用程序,它使客户可以利用Azure的本机 L7负载平衡器将云软件公开给Internet。 AGIC监视托管在其上的Kubernetes集群,并不断...
为什么kubernetes天然适合微服务
01-27
例如,通过Ingress资源可以轻松配置服务的网络路由,Helm则提供了包管理机制,简化了应用的部署和升级。 总结来说,Kubernetes以其强大的功能和灵活性,成为了微服务架构的理想选择。它不仅满足了IT运维、数据架构...
ingress发布https
PlatoWG的博客
04-15 337
### 1、指定ingressClassName ### 2、配置https发布 ### 3、设置80是否自动跳转443
ingress-nginx部署及配置https
梦想起飞的地方.........
04-25 1499
1、IngressKubernetes中,服务和Pod的IP地址仅可以在集群网络内部使用,对于集群外的应用是不可见的。为了使外部的应用能够访问集群内的服务,在Kubernetes中可以通过NodePort和LoadBalancer这两种类型的服务,或者使用IngressIngress本质是通过http代理服务器将外部的http请求转发到集群内部的后端服务。 2、ingress-nginx部署 ingress-nginx组件有几个部分组成: configmap.yaml:提供configmap可以.
Kubernetes 使用 ingress 配置 https 集群(十五)
weixin_33724046的博客
12-19 427
[TOC] 一、背景 1.1 需求 我们有这样的一个需求,就是把 Pod 集群升级为 https,目前的办法就是要么每个容器配置 https,然后前端通过 Service 进行调度,但是这样配置起来会比较麻烦,以及每个容器的建立都通过 https ,也增加了建立连接的负担。 我们需要一种这样的改造,就是客户端连接到 Service 是通过 https,而 Service 向后端 Pod 的调度通过...
ingress实现https代理访问
a91888888的博客
01-18 725
缺点: 资源占用,大型集群中,deamonset可能会运行多个traefik的实力,尤其是节点上不需要大量容器运行的情况下。deployment+NodePort: 最常见,最常用,最简单的方法。优点: 每个节点都会部署一个traefik,节点感知,可以自动发现,更新容器的配置。部署对外集群:对外的业务会经常变更,deamonset可以更好的,自动的发现服务配置变更。优点:集中办公控制,可以使用少量的实例来运行处理整个集群的流量。工作原理都一样,都是7层代理,都可以动态的更新配置,都可以自动发现服务
kubernetesingress实现同时支持http和https
rendongxingzhe的博客
09-28 4300
kubernetesingress实现同时支持http和https

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值