Kubernetes集群——(k8s)ingress+加密认证+地址重写

最新推荐文章于 2024-03-27 22:49:06 发布
最新推荐文章于 2024-03-27 22:49:06 发布
阅读量1.1k 收藏 5
点赞数 1
分类专栏: k8s 文章标签: kubernetes nginx linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46089299/article/details/107073432
版权

一、ingress的认证
参考官网信息
https://kubernetes.github.io/ingress-nginx/examples/auth/basic/
在这里插入图片描述

首先安装工具,生成一个基于Basic认证的用户和密码
[root@server2 ~]# yum install -y httpd-tools

注意:第一次创建用户需要使用-c参数,当文件中含有其他用户时,不要使用-c参数,否则会覆盖之前的信息
在这里插入图片描述
htpasswd生成的文件的秘钥在Ingress规则中添加身份验证。生成的文件必须命名为auth(实际上,这个秘钥有一个key: data.auth),否则入口控制器将返回一个503。

认证信息导入文件
[root@server2 ~]# kubectl create secret generic basic-auth --from-file=auth
secret/basic-auth created
[root@server2 ~]# kubectl get secrets   查看
NAME                  TYPE                                  DATA   AGE
basic-auth            Opaque                                1      13s
default-token-754fk   kubernetes.io/service-account-token   3      27h
tls-secret            kubernetes.io/tls                     2      3h58m

[root@server2 ~]# kubectl describe secrets basic-auth   查看
Name:         basic-auth
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
auth:  41 bytes  认证信息已经添加完成

查看详细信息输出成yaml文件
[root@server2 ~]# kubectl get secret basic-auth -o yaml
apiVersion: v1
data:
  auth: d2M6JGFwcjEkcERtaWpJQ1EkVjR6WVBDczlxakRvYlkvMVNjbFA0Lgo=
kind: Secret
metadata:
  creationTimestamp: "2020-07-01T22:12:53Z"
  managedFields:
  - apiVersion: v1
    fieldsType: FieldsV1
    fieldsV1:
      f:data:
        .: {}
        f:auth: {}
      f:type: {}
    manager: kubectl
    operation: Update
    time: "2020-07-01T22:12:53Z"
  name: basic-auth
  namespace: default
  resourceVersion: "129787"
  selfLink: /api/v1/namespaces/default/secrets/basic-auth
  uid: 46d42acc-0d41-4395-8064-8181550ef327
type: Opaque

参考官网文档编辑secret.yaml文件
在这里插入图片描述

vim secret.yaml
 apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: ingress-with-auth
  annotations:
    # type of authentication
    nginx.ingress.kubernetes.io/auth-type: basic  认证类型
    # name of the secret that contains the user/password definitions
    nginx.ingress.kubernetes.io/auth-secret: basic-auth  认证secret
    # message to display with an appropriate context why the authentication is required
    nginx.ingress.kubernetes.io/auth-realm: 'Authentication Required - wc'  终端显示
spec:
  rules:
  - host: www1.westos.org   针对的主机域名
    http:
      paths:
      - path: /
        backend:
          serviceName: myservice
          servicePort: 80

要清除之前的实验操作

[root@server2 ~]# kubectl apply -f secret.yaml 
ingress.networking.k8s.io/ingress-with-auth created
[root@server2 ~]# kubectl get ingress
NAME                 CLASS    HOSTS             ADDRESS        PORTS     AGE
ingress-with-auth    <none>   www1.westos.org   172.25.254.3   80        2m25s

在这里插入图片描述
默认认证之后是强制加密访问:https
在这里插入图片描述
自定义加密访问:前面已经完后成了认证文件的生成,接下来结合在一起使用。

[root@server2 ~]# vim secret.yaml
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: ingress-with-auth
  annotations:
    # type of authentication
    nginx.ingress.kubernetes.io/auth-type: basic
    # name of the secret that contains the user/password definitions
    nginx.ingress.kubernetes.io/auth-secret: basic-auth
    # message to display with an appropriate context why the authentication is required
    nginx.ingress.kubernetes.io/auth-realm: 'Authentication Required - wc'
spec:
  tls:  指定加密认证查看之前tls.yal文件
    - hosts:
      - www1.westos.org
      secretName: tls-secret
  rules:
  - host: www1.westos.org
    http:
      paths:
      - path: /
        backend:
          serviceName: myservice
          servicePort: 80

[root@server2 ~]# kubectl delete -f secret.yaml
[root@server2 ~]# kubectl apply -f secret.yaml

在这里插入图片描述
在这里插入图片描述
设置session会话保持

[root@server2 ~]# vim secret.yaml

在这里插入图片描述
在这里插入图片描述
二、地址重写
前面访问的www1.westos.org的时候,没有直接跳转到pod容器,如下图所示
在这里插入图片描述
实现自动跳转到访问pod容器

参考官网
在这里插入图片描述

[root@server2 ~]# kubectl get svc
NAME         TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)        AGE
kubernetes   ClusterIP   10.96.0.1       <none>        443/TCP        29h
myservice    NodePort    10.96.85.103    <none>        80:31853/TCP   49m
myservice2   NodePort    10.100.14.113   <none>        80:32313/TCP   49m
[root@server2 ~]# vim rewrite.yaml 
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  annotations:
    nginx.ingress.kubernetes.io/app-root: /hostname.html  指定跳转地址
  name: approot
  namespace: default
spec:
  rules:
  - host: www2.westos.org  指定域名
    http:
      paths:
      - backend:
          serviceName: myservice2  指定service
          servicePort: 80
        path: /
[root@server2 ~]# kubectl apply -f rewrite.yaml 
ingress.networking.k8s.io/approot created

在这里插入图片描述
在这里插入图片描述
2.2annotations参数
在这里插入图片描述
2.2.1重定向流量的目标URI:nginx.ingress.kubernetes.io/rewrite-target:
在这里插入图片描述

vim rewrite.yaml 

apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /
  name: approot
  namespace: default
spec:
  rules:
  - host: rewrite.westos.org
    http:
      paths:
      - backend:
          serviceName: myservice
          servicePort: 80
        path: /v1
      - backend:
          serviceName: myservice2
          servicePort: 80
        path: /v2

当访问rewrite.westos.org时需要重定向到v1/v2当前是没有v1/v2的
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
2.2.2使用重写注释创建一个Ingress规则
以$1, 2... 2... 2...n的形式保存在编号占位符中。这些占位符可以在重写目标注释中用作参数

捕获的任何字符(.*)将被分配到占位符$2,然后在rewrite-target注释中用作一个参数
vim rewrite.yaml 

apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /$2 
  name: approot
  namespace: default
spec:
  rules:
  - host: rewrite.westos.org
    http:
      paths:
      - backend:
          serviceName: myservice
          servicePort: 80
        path: /redhat(/|$)(.*)

在这里插入图片描述
在这里插入图片描述
访问流程:用户访问ingress-Nginx(反向代理)——svc(service:myservice)——pod

Burie
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Kubernetes(K8S)(九)——ingress认证配置、地址重写
Aimee_c的博客
07-01 2835
文章目录1.Ingress认证配置2.Ingress地址重写 1.Ingress认证配置 在master(server1): yum install -y httpd-tools 2.Ingress地址重写
k8s(六)Ingress(部署,域名访问,加密认证地址重写
weixin_44992260的博客
08-01 3728
目录一、 Ingress1.ingress部署2.域名访问+ingress-nginx3.域名访问+ingress-nginx(2个域名) 一、 Ingress 1.ingress部署 上传ingress两个镜像到私有仓库下的ingress-nginx项目 查看镜像上传成功 修改deploy.yaml文件中镜像地址 查看ns为ingress-nginx的所有信息,可以看到ingress-nginx-controller已经running 查看svc暴露端口 测试: 访问server2ip.
运维实操——kubernetes(七)Ingress服务加密认证地址重写
qq_40764171的博客
07-29 1391
Ingress服务1、什么是ingress?2、ingress安装3、一个ingress控制多个service 1、什么是ingress? 以前一个service一个虚拟ip,但是随着服务数量的增加,ip是不够用的,所以就产生了ingress服务,它可以代理不同后端 Service ,这样很多的service在一个ingress下,只需要一个ip即可。ingres在客户和服务之间增加一层,进而实现负载均衡服务。如图所示 Ingress由两部分组成:Ingress controller和Ingress服务。
Kubernetes 6 ( ingress 服务加密认证地址重写
qq_38664479的博客
09-27 502
目录一、pandas是什么?二、使用步骤1.引入库 一、pandas是什么? 二、使用步骤 1.引入库
如何在Ingress中进行路径重写rewrite-target
shyの个人笔记
02-05 995
使用nginx.ingress.kubernetes.io/rewrite-target进行路径转发
Kubernetes(k8s)集群部署七、k8s网络通信+service扩展ingress(TLS,认证地址重写)calico网络插件(允许指定pod访问服务,禁止其他namespace访问服务)
ninimino的博客
03-03 1097
k8s网络通信k8s网络通信1.容器间通信2.pod之间的通信2.1同一节点的pod2.2不同节点的pod之间的通信flannel网络原理flannel支持多种后端:3.pod和service通信4.pod和外网通信5.Service与集群外部客户端的通信ingress创建ingress服务:Ingress TLS 配置Ingress 认证配置(认证之前做好加密Ingress地址重写calico网络插件:能够解决策略 k8s网络通信 k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有fl
kubernetes负载均衡资源-Ingress
最新发布
weixin_42816196的博客
03-27 995
Ingress其实就是Kubernetes中的一种资源,它主要是用来定义流量转发规则。但Ingress资源自身并不能实现流量的转发和调度,它仅仅是一组流量路由的规则集合,这些规则要真正发挥作用还需要使用到Ingress控制器,由Ingress控制器读取对应的Ingress规则,然后完成流量的路由或转发。Ingress的底层知识是通过Nginx进行封装。配置规则也是跟Nginx类似Ingress日定义Nginx配置annotations:局部: Server {} 认证;限速;等等。
Linux39-4】Ingress简介及部署、创建Ingress加密认证重写
weixin_46069582的博客
02-24 1133
文章目录1. Ingress1.1 简介1.2 Ingress 规则2. 部署Ingress环境3. 创建Ingress3.1 创建3.2 加密(TLS证书)3.3 认证3.4 重写(rewrite-target)3.5 重写(app root) master端:server2 node端:server3,server4 1. Ingress Ingress官网文档 Ingress控制器官方文档 1.1 简介 IngressIngress 是对集群中服务的外部访问进行管理的 API 对象,
KubernetesK8s)中Ingress的概念与实践
KubernetesK8s)基础知识介绍 ### 1.1 什么是KubernetesKubernetes是一个开源的容器编排引擎,最初由Google设计和开发,用于自动化部署,扩展和管理容器化应用程序。它可以帮助用户更有效地管理大规模的容器...
kubernetes-6(续) Ingress TLS配置 ingress认证 ingress地址重写
Ma_JunSSR的博客
08-02 955
1、ingress TLS 配置 我们之前的设置不够安全,我应该要安全的访问443端口。 创建证书和密钥 创建secret vim ingress-https.yaml 编辑文件 [root@server2 ingress]# cat ingress-https.yaml apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: name: ingress-myapp spec: tls: - hosts: - ww
k8sIngress部署、加密认证重写
sl963216757的博客
07-09 1029
一、Ingress简介 ingress官方文档 Ingress 公开了从集群外部到集群内服务的 HTTP 和 HTTPS 路由。 流量路由由 Ingress 资源上定义的规则控制。 可以将 Ingress 配置为服务提供外部可访问的 URL、负载均衡流量、终止 SSL/TLS,以及提供基于名称的虚拟主机等能力。Ingress 控制器 通常负责通过负载均衡器来实现 Ingress,尽管它也可以配置边缘路由器或其他前端来帮助处理流量。 Ingress 不会公开任意端口或协议。 将 HTTP 和 H
kubernetes(k8s):Ingress 配置(TLS certificates+Basic Authentication )和Rewrite地址重写
weixin_43936969的博客
05-17 1813
文章目录前言1. Ingress TLS 配置2. Ingress 认证配置3. ingress地址重写annotations参数 前言 TLS: TLS(Transport Layer Security)即安全传输层协议,在两个通信应用程序之间提供保密性和数据完整性。最典型的应用就是HTTPS。HTTPS,即HTTP over TLS,就是安全的HTTP,运行在HTTP层之下,TCP层之上,为HTTP层提供数据加解密服务。 TLS 是进行 HTTPS 连接的重要环节,通过了 TLS 层进行协商,后续的 H
ingress 路由地址重写与规则解释
weixin_42561847的博客
02-23 2281
nginx rewrite 地址重写规则rewrite ^(.*)$ /msie/$1 break; 这里的$1调用的是是前面括号中匹配的内容,那$是什么意思?^(.*)$ : ^ 代表以什么开头, $代表以什么结尾, . 指代除换行符以外的所有字符, * 代表0个或者任意多个, 整体代表匹配任何请求;$1 匹...
Ingress路径重写配置
weihua831的博客
12-28 509
接口,用ingress实现此配置如下。在上面示例中,当我们访问。,将会转发到后端服务。
Ingress企业实战:URL重写与高级玩法
云原生运维
09-10 557
URL重写(URL rewriting)是一种在Web服务器上修改或转换请求URL的过程。它通常涉及使用服务器配置或规则来更改传入的URL,以便在不改变实际请求资源的情况下,实现不同的行为,如重定向、路径映射、参数处理等。URL重写在服务器层面进行,因此客户端(如浏览器)对于URL的请求不会感知到这些更改,但服务器会根据配置进行适当的处理。重定向: 将一个URL重写为另一个URL,实现301永久重定向或302临时重定向。这可以用于更改站点结构、修复错误的URL、实现SEO优化等。
ingress-nginx-url重写的经验总结
zhongliwen1981的专栏
01-05 4817
Ingress 配置中关于重写的注解有: 注解名 描述 nginx.ingress.kubernetes.io/app-root 访问主域名的时候会自动跳转到app-root注解指定的路径 nginx.ingress.kubernetes.io/rewrite-target 将匹配到的url重定向到rewrite-target注解指定的路径 nginx.ingress.kubernetes.io/server-snippet 使用注解可以在server{...}配置块中添加自定义的配
Kubernetes 通过 Sealed Secrets 实现加密部署
engchina的专栏
01-29 729
Kubernetes 通过 Sealed Secrets 实现加密部署
K8s配置Ingress账号登录
HongzhuoO的专栏
11-05 856
K8s配置Ingress账号登录
使用openssl生成自签名证书、添加secret在ingress和gateway中引用
ice_bird的专栏
04-01 3686
1、使用以下命令检查OpenSSL命令的安装版本 openssl version 2、生成证书文件 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt 按提示输入城市信息,注意Common Name为你需要指定域名 3、创建secret kubectl create secret tls https-secret --key tls.key --cert tls.crt ingress
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值