k8s集群配置域名证书支持https与http

已于 2022-02-11 15:50:34 修改
阅读量2.5k 收藏 3
点赞数 1
分类专栏: kubernetes Linux 文章标签: https http 网络协议 kubernetes
于 2022-02-11 15:47:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45492289/article/details/122881717
版权
本文档详细介绍了如何检查Kubernetes集群的默认证书,包括查看Traefik Ingress配置,确认是否存在默认证书。当发现缺少证书时,通过导入证书文件创建Secret或ConfigMap,并编辑Traefik的配置来添加证书。此外,还展示了如何为特定服务的Ingress分配证书,包括创建新的Secret并更新Ingress配置。最后,检查证书安装完成后的状态,确保所有步骤正确执行。
摘要由CSDN通过智能技术生成
1.检查k8s集群是否有默认证书

查看集群默认traefik-ingress:
kubectl get ds -n kube-system
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传在这里插入图片描述

再查看该traefik是否有默认证书:
kubectl get cm -A
kubectl edit cm traefik-conf -n kube-system -o yaml
在这里插入图片描述
在这里插入图片描述

与含有证书的配置对比,如缺少下图红框中配置,则说明没有默认证书,需添加次配置
在这里插入图片描述

2.添加默认证书

先将证书文件导入宿主机:server.crtserver.key
通过证书文件新建Secret或cm,在证书文件下执行如下命令:
kubectl create cm gridsum --from-file=server.crt --from-file=server.key -n kube-system
再添加traefik-conf中的缺少的配置
最后在trarfik的ds中添加如下配置:
kubectl edit ds traefik-ingress-controller -n kube-system -o yaml
在这里插入图片描述

等待traefik的pod全部重启之后,此时默认证书就安装完成了。

3.检查对应命名空间下的engage服务的ingress

kubectl edit ingress compaas-tp.gridsum.com -n tenant-9h46s8u-env-b80uq53
在这里插入图片描述

如需要为其额外分配证书,则可以通过如下命令新建secret,在证书文件目录下:
kubectl -n tenant-9h46s8u-env-b80uq53 create secret tls compaas-tp-secret --key=server.key --cert=server.crt
再在engage的ingress配置中添加如下部分即可使用对应的secret证书
https://gitlab.gridsum.com/Engage2/platform/application-center/engage2.0/uploads/a499be826b1c184fd750c6c2417f3e96/image.png

17信计廖彪
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S上的Web服务该怎么做域名解析呢?
m0_53462955的博客
09-15 645
K8S上的Web服务该怎么做域名解析呢? 我们这个系列的文章一直都在学习和掌握K8S各种组成部分在集群里的角色、作用和使用场景,那么针对今天这个主题任务「给K8S上的Web服务做域名解析」你觉得应该使用什么组件来完成呢? 之前使用 Ingress ,那么有人会问为啥不能用 NodePort 这种方式呢?今天的文章我们就来详细探讨一下这些相关的问题: 为什么 NodePort 这种暴露服务的方式不适合用来给服务做域名解析。 怎么使用 Ingress 暴露Web服务(会给大家做一个Demo进行演示)。 生产集
k8s:通过域名生成证书
weixin_42072280的博客
03-29 1441
正确方式 "hosts": [ "*.etcd" ], 完整生成证书的示例见附件 [root@node1 certs]# cat /root/k8s/cfg/etcd ETCD_OPTS="--name=etcd-2 \ --listen-peer-urls=https://192.168.56.169:2380 \ --initial-advertise-peer-urls=https://etcd2.etcd:2380 \ --listen-client-urls=http
K8S Ingress 常用配置
最新发布
小五
08-08 1451
本次所有操作都是在K8S 1.26.14 上面操作,太老的版本不知道会不会有问题。更多 Ingress 配置请查看ingress-nginx 官网定义服务托管页面后段程序(为了演示使用 nginx 部署)。部署自定义页面 配置文件。
k8s dns 带证书配置
weixin_34109408的博客
12-16 136
DNS部署 基于上一篇文章从零开始搭建基于calico的kubenetes,已经完成了kubernetes的部署。但未 部署DNS。本章节将介绍DNS部署。 配置文件准备 skydns-rc.yaml 注意此文件与kubernetes官方提供的模板相比,在此mount了从节点的配置文件/etc/kubernetes/worker-kubeconfig.y...
kubernetes的ingress实现同时支持httphttps
rendongxingzhe的博客
09-28 4578
kubernetes的ingress实现同时支持httphttps
K8S 配置域名访问 Ingress【Traefik】
zhiboqingyun的博客
02-17 4787
官网地址:https://doc.traefik.io/traefik/user-guides/crd-acme/ 参考目录:/Traefik/User Guides/Kubernetes and Let’s Encrypt/Cluster Resources/IngressRoute Definition mkdir -p /root/traefik cd /root/traefik 参考目录 /Traefik/User Guides/Kubernetes and Let’s Encrypt/Clust
K8S之Ingress
运维@小兵的博客
09-26 5383
文章目录一、概念`1.1.NodePort存在的不足``1.2.Ingress`二、部署Ingress Controller(全局的负载均衡)`2.1.下载yaml文件``2.2.下载镜像``2.3修改mandatory.yaml`三、基于HTTP的Ingress规则`3.1.yaml文件``3.2.访问域名`四、基于HTTPS的Ingress规则`4.1.生成自签证书``4.2.创建secret``4.3.Ingress规则` 参考视频:https://ke.qq.com/user/index/ind
[Kubernetes]9. K8s ingress讲解借助ingress配置http,https访问k8s集群应用
zhoupenghui168的博客
01-11 1340
K8s ingress借助ingress配置http,https访问k8s集群应用,怎么配置ssl证书,域名解析操作
K8S使用现有证书配置HTTPS.doc
08-18
KubernetesK8S)中,使用现有证书配置 HTTPS 是一种常见的方式,以确保集群中的通信安全。在本文中,我们将详细介绍如何在 K8S 中使用现有证书配置 HTTPS证书导入 在 K8S 中,证书可以通过创建 secret 来...
k8s部署kuboard(支持https认证)
11-04
在本文中,我们将深入探讨如何在Kubernetes (k8s) 集群中部署Kuboard,并配置支持HTTPS认证。Kuboard是一款专为Kubernetes设计的免费管理界面,提供多集群管理、权限控制、监控和日志管理等功能,广泛应用于企业的...
【实战加详解】二进制部署k8s高可用集群教程系列二 - ssl 证书简介
JohnYang's CSDN Home
10-12 1001
实战加详解 - 完美解决二进制部署k8s高可用集群中ssl证书以及TLS Bootstrap机制的问题
K8S二进制部署详解,一文教会你部署高可用K8S集群
景天科技苑
02-07 4036
虽然kubeadm方式搭建K8S比较简单,但是对里面的原理都不清楚的话,生产中使用功能可能不便于排查故障。二进制方式部署的k8s集群比较稳定。 二进制方式搭建:在官网下载相关组件的二进制包,如果手动安装,对kubernetes理解也会更全面。 Kubeadm和二进制都适合生产环境,在生产环境运行都很稳定,具体如何选择,可以根据实际项目进行评估。
k8s+springboot+mysql8开启SSL连接
zjy9951的博客
03-24 1613
1.确保mysql开启并支持SSL mysql8以后默认开启SSL并生成证书。 #查询结果为YES show variables like 'have_ssl'; 如果没有开启可以使用自带的mysqld_ssl_rsa_setup工具,执行后重启mysql即可。 2.下载mysql的ca证书 #查看证书位置,从此位置下载ca.pem文件 show variables like 'datadir'; 3.转为jks文件供jdbc连接时使用 *keytool为jdk自带的工具 keytool.exe -im
kubernetes的使用二--设置https证书
XR风云
04-24 2206
在安装好了k8s整个环境之后,我们接下来配置https证书,我们都是以https形式来搭建环境的,要在安全性上加固。 下载easy-rsa wget https://github.com/OpenVPN/easy-rsa/archive/master.zip 解压 unzip master.zip 进入 cd easy-rsa-master/easyrsa3 执行命令: ./e
k8s pod通过域名访问外网
yztezhl的专栏
06-16 2304
k8s pod通过域名访问外网
七、k8s ingress (http/https)部署与使用
热门推荐
机器重启员的博客
12-26 1万+
简单来讲,就是一个利用负载均衡的玩意,其主要用来解决使用NodePort暴露Service的端口时Node IP会漂移的问题。同时,若大量使用NodePort暴露主机端口,管理会非常混乱。 好的解决方案就是让外界通过域名去访问Service,而无需关心其Node IP及Port。那为什么不直接使用Nginx?这是因为在K8S集群中,如果每加入一个服务,我们都在Nginx中添加一个配置,其实是一...
k8s-Pod域名学习总结
liuyij3430448的博客
03-10 3322
默认使用ip的方式,不利于正式的生产环境。(Pod的切换可能会导致IP的变化)可以在Pod yaml配置中设置hostname字段定义容器环境的主机名, 并设置subdomain字段定义容器环境的子域名。spec:hostname: 主机名称subdomain: 子域名[hostname]yaml中配置的hostnameyaml中配置的subdomain为Pod所在的命名空间默认为例如k8s集群default命名空间中有如下pod: order-service-pod此时pod域名为。
如何使用 Cert-Manager 快速实现 Kubernetes 应用域名证书自动化续签
easylife206的专栏
05-19 2361
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !​简介Cert-Manager[1]是一款用于 Kubernetes 集群中自动化管理 TLS 证书的开源工具,它使用了 Kubernetes 的自定义资源定义(CRD)机制,让证书的创建、更新和删除变得非常容易。设计理念Cert-Manager 是将 TLS 证书视为一种资源,就像 Pod、Service 和 De...
K8S 集群配置 https 证书
weixin_42555971的博客
06-25 1887
https
k8s怎么配置域名解析
12-27
Kubernetes配置域名解析有两种方法: 方法1:使用服务名进行解析 在Kubernetes中,我们可以使用服务名来调用服务,并通过CoreDNS来进行解析。CoreDNS是Kubernetes集群中的默认DNS解析器。当我们创建一个Service时,CoreDNS会自动为该Service创建一个DNS记录。我们可以使用该Service的名称作为域名来访问该Service。 方法2:使用私有DNS解析 另一种方法是通过修改CoreDNS的配置来实现内部解析。我们可以编辑CoreDNS的配置文件,并添加自定义的域名解析规则。通过这种方式,我们可以将集群外的服务的域名映射到相应的IP地址。 以下是一个示例配置文件的内容: ```shell .:53 { errors health kubernetes cluster.local in-addr.arpa ip6.arpa { pods insecure upstream fallthrough in-addr.arpa ip6.arpa } prometheus :9153 forward . /etc/resolv.conf cache 30 loop reload loadbalance } ``` 在这个配置文件中,我们可以添加自定义的域名解析规则,例如: ```shell .:53 { errors health kubernetes cluster.local in-addr.arpa ip6.arpa { pods insecure upstream fallthrough in-addr.arpa ip6.arpa } prometheus :9153 forward . /etc/resolv.conf cache 30 loop reload loadbalance mydomain.com { forward . 10.0.0.1 } } ``` 在这个示例中,我们将mydomain.com解析到IP地址10.0.0.1。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值