kubernetes下traefik申请ssl证书(tlsChallenge、httpChallenge、dnsChallenge)

最新推荐文章于 2024-03-08 21:52:09 发布
最新推荐文章于 2024-03-08 21:52:09 发布
阅读量1.1k 收藏
点赞数
分类专栏: traefik kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_32188225/article/details/124117638
版权

traefik有三种ssl证书申请方式,分别是tlsChallenge、httpChallenge、dnsChallenge,让我们来对比一下三种方式的区别

tlsChallengehttpChallengednsChallenge
443端口可访问80端口可访问指定provider和设置该provider需要的环境变量

dnsChallenge

helm配置

下面helm yaml以阿里云dns为例

image:
  name: registry-vpc.cn-shenzhen.aliyuncs.com/liweilun/traefik
  tag: "v2.6"
deployment:
  kind: Deployment
ingressRoute:
  dashboard:
    enabled: false
experimental:
  http3:
    enabled: true
env:
  - name: ALICLOUD_ACCESS_KEY
    valueFrom:
      secretKeyRef:
        name: alidns
        key: ALICLOUD_ACCESS_KEY
  - name: ALICLOUD_SECRET_KEY
    valueFrom:
      secretKeyRef:
        name: alidns
        key: ALICLOUD_SECRET_KEY
additionalArguments:
  - "--providers.kubernetescrd.allowexternalnameservices=true"
  - "--entrypoints.websecure.http3.advertisedport=443"
  - "--certificatesresolvers.myresolver.acme.dnschallenge.provider=alidns"
  - "--certificatesresolvers.myresolver.acme.keytype=EC256"
  - "--certificatesresolvers.myresolver.acme.dnschallenge.delaybeforecheck=0"
ports:
  web:
    port: 80
  websecure:
    port: 443
    http3: true
service:
  type: ClusterIP
hostNetwork: true
securityContext:
  capabilities:
    drop: [ALL]
    add: [NET_BIND_SERVICE]
  readOnlyRootFilesystem: false
  runAsGroup: 0
  runAsNonRoot: false
  runAsUser: 0

1、traefik申请证书要求是Deployment,不能是DaemonSet
2、env环境变量需要有ALICLOUD_ACCESS_KEYALICLOUD_SECRET_KEY
3、additionalArguments里面

- "--certificatesresolvers.myresolver.acme.dnschallenge.provider=alidns"

指定一个名字叫myresolver的dnschallenge,provider为alidns

- "--certificatesresolvers.myresolver.acme.keytype=EC256"

指定证书类型为ecc,256位长度,ecc证书兼容性不如rsa证书但性能更高,ecc的256位长度等于rsa的3072位长度

- "--certificatesresolvers.myresolver.acme.dnschallenge.delaybeforecheck=0"

表示一直等待证书直到申请成功
4、调整安全上下文securityContext为允许root,因为要操作acme.json,这里没尝试root以外的能否申请

ingress配置

这里以traefik的kubernetes IngressRoute模式为例,只需要在tls部分的certResolver使用刚刚helm设置的myresolver这个provider就能申请ssl证书

apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: qcyn
spec:
  entryPoints:
    - websecure
  routes:
  - match: Host(`xxx.cn`)
    kind: Rule
    middlewares:
    - name: headers
      namespace: default
    services:
    - name: yn-practice
      port: 8080
  tls:
    certResolver: myresolver
    options:
      name: tlsoption
      namespace: default
    domains:
    - sans:
      - 'xxx.cn'

dnsChallenge 优点

dnsChallenge是traefik申请通配符证书的唯一方式,避免在domain罗列大量域名

dnsChallenge 缺点

如果要在traefik里面使用dnsChallenge,providers不能有重复,因为环境变量只能有一对。例如我用阿里云dns,那ALICLOUD_ACCESS_KEY和ALICLOUD_SECRET_KEY就只能有一对

李炜伦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
http协议认证方式
wangxing8282的博客
04-18 531
HTTP Basic认证 每次客户端请求都需带上Authorization请求头, 值为"Basic xxx"。xxx为对用户名和密码进行Base64编码后的值。 若客户端是浏览器,则浏览器会提供一个输入用户名和密码的对话框,用户输入用户名和密码后,浏览器会保存用户名和密码,用于构造Authorization值。当关闭浏览器后,用户名和密码将不再保存。 用户名/密码经过Base64加码后,这个...
阿里云申请云盾免费SSL证书(https)
09-14
主要介绍了阿里云申请云盾免费SSL证书(https),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
traefik篇- 理论介绍、安装配置以及使用详解
鬼刺
07-20 6683
1 traefik理论概览 2 安装配置 3 使用说明
DNS-Challenge:此存储库包含深度噪声抑制(DNS)挑战的脚本,模型和必需的文件
05-28
深度噪声抑制(DNS)挑战-INTERSPEECH 2021 该存储库包含DNS质询所需的数据集和脚本。 有关挑战的更多详细信息,请参阅我们的和挑战。 有关测试框架的更多详细信息,请访问 。 回购详情: 数据集目录包含干净的语音,噪声和房间脉冲响应,用于为宽带场景创建训练数据。 它还包含参与者在开发阶段可以使用的测试集。 datasets_fullband目录包含干净的语音,噪声和房间脉冲响应,用于为全频段场景创建训练数据。 NSNet2-baseline目录包含推理脚本和用于宽带语音增强方法的ONNX模型。 dns_challenge_data_downloader-如果您无法克隆整个存储库或速度太慢,这是下载数据的脚本。 请给我们发送电子邮件,要求在脚本中使用SAS_URL。 noisyspeech_synthesizer_singleprocess.py-用于合成噪声干净
traefik TLS-SSL 修复sweet32漏洞 [安全加固]——筑梦之路
最新发布
qq_53058639的博客
03-08 1071
之前已经写过关于nginxK8S组件修复sweet32安全漏洞的相关文章,关于sweet32安全漏洞就不再做过多的介绍,查阅了一些资料,很少有关于traefik修复SWEET32安全漏洞的相关文章,今天这里写一下如何修复traefik此漏洞,增强安全性。
2023最新SSL证书在线申请系统源码 支持API接口
09-22
2023最新SSL证书在线申请系统源码 | 支持API接口 SSL证书保证网络安全的基本保障。向您介绍我们的在线生成SSL证书系统 支持在线生成SSL证书系统,用户登录可在线申请SSL,后台对接ssl证书API接口 测试运行环境:Nginx+PHP8.0+MySQL5.7
申请免费的SSL证书
10-31
啥也不多说了,内容看title,方便大家申请SSL证书,免得到处找
traefik-certs:从traefik提取SSL证书并创建证书文件以在其他地方使用
05-09
特拉菲克证书traefik提取SSL证书并创建证书文件以供其他地方使用的最少服务。 快速开始 请参阅(examples)目录,以了解docker compose演示配置的示例。 配置 环境变量是: 环境变量 默认 描述 CERT_PATH /certs 放置证书的目录的路径 ACME_PATH traefik创建的acme.json的路径 输出 监视acme.json的程序进行更改,并分别复制名称为domain.crt和domain.chain.crt证书证书链。 版权 2018汤姆·塞登 执照
Interspeech 2020 DNS Challenge数据集下载方法
fufudayo的博客
07-10 1573
最近要用DNS Challenge2020(第一届)的数据集,发现github上是新版的,不是我所需要的版本。官方文档也比较混乱,故写此文,简单分享下2020dataset下载方法。
ICASSP2023 | TEA-PSE 3.0: 深度噪声抑制(DNS)竞赛个性化语音增强冠军方案解读
weixin_48827824的博客
03-30 1881
由微软发起的深度噪声抑制(Deep Noise Suppression Challenge)竞赛已经连续举办了五届,在ICASSP 2023上举办的最新一届竞赛[1]旨在促进全频带(48 kHz)实时个性化语音增强,赛道一围绕头戴麦克风(headset)语音增强,赛道二围绕扬声器麦克风(speakerphone)语音增强。
论文翻译:2022_腾讯DNS 1th TEA-PSE: Tencent-ethereal-audio-lab personalized speech enhancement system for I...
凌逆战的博客
02-03 1071
论文地址:TEA-PSE: 用于ICASSP 2022 DNS挑战赛的Tencent-ethereal-audio-lab 个性化语音增强系统 论文代码: 引用格式:Ju Y, Rao W, Yan X, et al. TEA-PSE: Tencent-ethereal-audio-lab personalized speech enhancement system for ICASSP 20...
阿里云使用Docker-compose搭建Traefik代理服务器,包含最通用docker-compose安装最新版本
qq_43657722的博客
10-17 2323
阿里云使用Docker-compose搭建Traefik代理服务器,包含最通用docker-compose安装最新版本
阿里云跨账号申请ssl证书签发
06-30
阿里云跨账号申请ssl证书签发-详细笔记总结
一文搞懂 Traefik2.1 的使用
weixin_38261043的博客
03-06 2572
原文链接:一文搞懂 Traefik2.1 的使用 一文搞懂 Traefik2.1 的使用核心概念安装ACME中间件灰度发布流量复制TCP简单 TCP 服务带 TLS 证书的 TCP Traefik 是一个开源的可以使服务发布变得轻松有趣的边缘路由器。它负责接收你系统的请求,然后使用合适的组件来对这些请求进行处理。 除了众多的功能之外,Traefik 的与众不同之处还在于它会自动发现适合你服务...
基于Traefik3.0和Let‘s Encrypt以及阿里dnsHTTPS方案(docker 部署)
Hireek的博客
09-27 481
复制ACCESS_KEY和SECRET_KEY。
入门traefik系列——路由配置与使用
qq_33816243的博客
09-30 4515
本篇主要讲解路由规则的配置与使用,包含HTTP域名路由、HTTPS域名路由(自有证书、自动续签证书)、TCP路由(TLS证书)、UDP路由以及多个k8s server路由配置
[面试直通版]网络协议面试核心之HTTP,HTTPS,DNS-TLS技术
汤键的博客
11-03 562
[面试直通版]网络协议面试核心之HTTP,HTTPS,DNS-TLS技术
Traefik - 自动签发Let‘s Encrypt 免费ssl证书
DemingLiu的博客
08-05 541
云原生网关服务Traefik 部署使用Let's Encrypt 签发的免费ssl证书
HTTP 代理
u013328649的博客
10-07 1135
参考视频教程: **(毕设项目)Vue+Go前端后端一体化 企业级微服务网关项目 ** HTTP 代理: (1) 如果我们一直用同一个IP去爬取同一个网站上的网页,久了之后可能会被该网站服务器屏蔽,因此我们可以使用代理IP来爬取,代理实际上指的就是代理服务器 (2) 当我们使用代理IP爬取时,服务器端显示的是代理IP的地址,即使被屏蔽了,我们可以换一个代理IP继续爬取,代理IP获取页面:https://www.xicidaili.com/ 根据协议区分代理: (1) FTP 代理:主...
阿里云申请ssl证书
07-27
5. 在证书管理页面,点击"申请证书"按钮。 6. 根据页面提示选择证书类型和域名验证方式。 7. 根据选择的验证方式完成域名验证操作,例如通过DNS验证。 8. 完成域名验证后,等待证书签发,一般需要几分钟到几个小时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值