kubernetes下traefik申请ssl证书(tlsChallenge、httpChallenge、dnsChallenge)

最新推荐文章于 2024-04-20 09:50:59 发布
最新推荐文章于 2024-04-20 09:50:59 发布
阅读量1.2k 收藏
点赞数
分类专栏: traefik kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_32188225/article/details/124117638
版权

traefik有三种ssl证书申请方式,分别是tlsChallenge、httpChallenge、dnsChallenge,让我们来对比一下三种方式的区别

tlsChallengehttpChallengednsChallenge
443端口可访问80端口可访问指定provider和设置该provider需要的环境变量

dnsChallenge

helm配置

下面helm yaml以阿里云dns为例

image:
  name: registry-vpc.cn-shenzhen.aliyuncs.com/liweilun/traefik
  tag: "v2.6"
deployment:
  kind: Deployment
ingressRoute:
  dashboard:
    enabled: false
experimental:
  http3:
    enabled: true
env:
  - name: ALICLOUD_ACCESS_KEY
    valueFrom:
      secretKeyRef:
        name: alidns
        key: ALICLOUD_ACCESS_KEY
  - name: ALICLOUD_SECRET_KEY
    valueFrom:
      secretKeyRef:
        name: alidns
        key: ALICLOUD_SECRET_KEY
additionalArguments:
  - "--providers.kubernetescrd.allowexternalnameservices=true"
  - "--entrypoints.websecure.http3.advertisedport=443"
  - "--certificatesresolvers.myresolver.acme.dnschallenge.provider=alidns"
  - "--certificatesresolvers.myresolver.acme.keytype=EC256"
  - "--certificatesresolvers.myresolver.acme.dnschallenge.delaybeforecheck=0"
ports:
  web:
    port: 80
  websecure:
    port: 443
    http3: true
service:
  type: ClusterIP
hostNetwork: true
securityContext:
  capabilities:
    drop: [ALL]
    add: [NET_BIND_SERVICE]
  readOnlyRootFilesystem: false
  runAsGroup: 0
  runAsNonRoot: false
  runAsUser: 0

1、traefik申请证书要求是Deployment,不能是DaemonSet
2、env环境变量需要有ALICLOUD_ACCESS_KEYALICLOUD_SECRET_KEY
3、additionalArguments里面

- "--certificatesresolvers.myresolver.acme.dnschallenge.provider=alidns"

指定一个名字叫myresolver的dnschallenge,provider为alidns

- "--certificatesresolvers.myresolver.acme.keytype=EC256"

指定证书类型为ecc,256位长度,ecc证书兼容性不如rsa证书但性能更高,ecc的256位长度等于rsa的3072位长度

- "--certificatesresolvers.myresolver.acme.dnschallenge.delaybeforecheck=0"

表示一直等待证书直到申请成功
4、调整安全上下文securityContext为允许root,因为要操作acme.json,这里没尝试root以外的能否申请

ingress配置

这里以traefik的kubernetes IngressRoute模式为例,只需要在tls部分的certResolver使用刚刚helm设置的myresolver这个provider就能申请ssl证书

apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: qcyn
spec:
  entryPoints:
    - websecure
  routes:
  - match: Host(`xxx.cn`)
    kind: Rule
    middlewares:
    - name: headers
      namespace: default
    services:
    - name: yn-practice
      port: 8080
  tls:
    certResolver: myresolver
    options:
      name: tlsoption
      namespace: default
    domains:
    - sans:
      - 'xxx.cn'

dnsChallenge 优点

dnsChallenge是traefik申请通配符证书的唯一方式,避免在domain罗列大量域名

dnsChallenge 缺点

如果要在traefik里面使用dnsChallenge,providers不能有重复,因为环境变量只能有一对。例如我用阿里云dns,那ALICLOUD_ACCESS_KEY和ALICLOUD_SECRET_KEY就只能有一对

李炜伦
关注
专栏目录
traefik 配置自动申请ssl免费证书
无锋剑
11-28 2736
什么是 SSL 证书? 安全套接字层 (SSL) 证书(有时称为数字证书)用于在浏览器或用户计算机与服务器或网站之间建立加密连接。SSL 连接可保护在每次访问(称为会话)期间交换的敏感数据(例如信用卡信息),以防被非授权方拦截。SSL 连接可保护在每次访问(称为会话)期间交换的敏感数据(例如信用卡信息),以防被非授权方拦截。 实现目标: traefik 转发或者提供的域名都能够支持https 请求...
Kubernetes 部署 Traefik Ingress 控制器 (1.7.12)
sinat_28371057的博客
01-03 374
目录[-] . 一、Ingress 介绍 . 二、Traefik 介绍 . 三、部署 Ingress 控制器 Traefik . 1、Traefik 两种部署方式介绍 . 2、创建 Traefik 配置文件 . 3、将 Traefik 配置文件挂载到 ConfigMap . 4、设置 CA 证书 . 5、给节点设置 Label . 6、创建 Traefik 服务账户与角色权限 . 7、创建 Traefik Ingress Controller . 四、配置 Ingress 访问策略
traefik-certs:从traefik提取SSL证书并创建证书文件以在其他地方使用
05-09
特拉菲克证书traefik提取SSL证书并创建证书文件以供其他地方使用的最少服务。 快速开始 请参阅(examples)目录,以了解docker compose演示配置的示例。 配置 环境变量是: 环境变量 默认 描述 CERT_PATH /certs 放置证书的目录的路径 ACME_PATH traefik创建的acme.json的路径 输出 监视acme.json的程序进行更改,并分别复制名称为domain.crt和domain.chain.crt证书证书链。 版权 2018汤姆·塞登 执照
Traefik - 自动签发Let‘s Encrypt 免费ssl证书
DemingLiu的博客
08-05 914
云原生网关服务Traefik 部署使用Let's Encrypt 签发的免费ssl证书
记一次更换网站SSL证书--打包在traefik里面使用docker部署
种一棵树最好的时间是十年前,其次是现在。
06-05 1854
突然发现网站访问时提示:您的连接不是私密连接 攻击者可能会试图从 www.xxxxx.com 窃取您的信息(例如:密码、通讯内容或信用卡信息)。了解详情 NET::ERR_CERT_DATE_INVALID,这就很尴尬了,第一次遇到这种情况,还以为域名解析出错了呢。 点开高级按钮,发现是因为SSL证书过期了。 那么开始更换SSL证书。 选择 填写申请信息 然后就等审核结果就好了。 以为审核会很慢,结果五分钟后刷新下,发现已经审核通过了。 证书下载页面,包含了Tomcat,Apache、ngi
探索Traefik Certs Dumper:自动化SSL证书管理的新工具
最新发布
gitblog_00017的博客
04-20 396
探索Traefik Certs Dumper:自动化SSL证书管理的新工具 traefik-certs-dumper Dump ACME data from Traefik to certificates 项目地址: https://gitcode.com/gh_...
网络安全入门笔记(共327页),助你步入安全门槛
Spontaneous_0的博客
01-31 569
网络安全入门笔记(共327页),助你步入安全门槛
kubernetes-traefik:使用Traefik作为网络入口和LoadBalancer的开源kubernetes部署
02-26
在`kubernetes-traefik-main`目录下,通常会有创建服务账户和角色绑定的YAML文件,例如`traefik-deployment.yaml`。应用这些文件以授予Traefik访问Ingress资源的权限。 2. 部署Traefik Deployment: 使用`kubectl...
terraform-gcp-kubernetes-traefik:有关如何使用terraform部署gke集群并将traefik用作入口控制器的小例子
02-04
在本项目中,我们主要探讨如何使用Terraform在Google Cloud Platform (GCP)上创建一个Kubernetes Engine (GKE) 集群,并配置Traefik作为集群的入口控制器。Terraform是一种流行的基础设施即代码(IaC)工具,它允许...
traefik设置证书 https访问
weixin_42562106的博客
06-14 968
1 生成证书 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout n1.key -out n1.crt kubectl create secret tls mytls --cert=n1.crt --key=n1.key (也可以使用) kubectl create secret generic mytls --from-file=n1.crt --from-file=n1.key cat<<END>myt..
DNS-Challenge:此存储库包含深度噪声抑制(DNS)挑战的脚本,模型和必需的文件
05-28
深度噪声抑制(DNS)挑战-INTERSPEECH 2021 该存储库包含DNS质询所需的数据集和脚本。 有关挑战的更多详细信息,请参阅我们的和挑战。 有关测试框架的更多详细信息,请访问 。 回购详情: 数据集目录包含干净的语音,噪声和房间脉冲响应,用于为宽带场景创建训练数据。 它还包含参与者在开发阶段可以使用的测试集。 datasets_fullband目录包含干净的语音,噪声和房间脉冲响应,用于为全频段场景创建训练数据。 NSNet2-baseline目录包含推理脚本和用于宽带语音增强方法的ONNX模型。 dns_challenge_data_downloader-如果您无法克隆整个存储库或速度太慢,这是下载数据的脚本。 请给我们发送电子邮件,要求在脚本中使用SAS_URL。 noisyspeech_synthesizer_singleprocess.py-用于合成噪声干净
traefik代理给nginx加ssl证书
小新没有蜡笔
05-10 1187
traefik开启https,请求进入后跳转:80–>443,通过traefik后,是以http方式请求后端服务 运行 docker-compose文件如下: version: "2" services: proxy: image: traefik command: --web --docker --logLevel=DEBUG networks: -...
Traefik-默认证书、Middleware、Ingressroute
惰立的博客
05-05 451
Traefik相关资源
challenge
Break-attack的博客
01-21 527
challenge 题目内容: 666c61677b686578327374725f6368616c6c656e67657d 一看就是十六进制的转了下其他格式没发现啥,拿去对了ASCII码发现flag ASCII可显示字符 二进制十进制十六进制图形 00100000 32 20 (空格)(...
traefik添加多证书
weixin_30650039的博客
04-21 717
证书准备 自己制作 这个不赘述了,网上一大把 购买的ssl证书 这里使用的是购买的ssl证书 问题纠正 有些说法是traefik证书名字必须是tls(比如: tls.pem, tls.key),这是错误的说法,下面就以非tls名字命名的证书来实现traefik ssl证书的添加 traefikssl和config挂载路径问题 在traefik-deployment.yaml中我们知道需要挂...
创建一个网站并为traefik设定证书
li1255994653的博客
03-16 300
1.为证书设定添加配置文件 certs-traefik.yaml tls: certificates: - certFile: /etc/certs/examplecert.crt keyFile: /etc/certs/examplecert.key 2.创建traefik和示例站点的docker compose文件traefik-compose.yml version: '3' services: reverse-proxy: # The offici
k8s Ingress(traefik) 配置https 证书
风.foxwho(神秘狐)
05-23 1988
条件 假设有证书 fox.foxwho.com.pem, fox.foxwho.com.key,给 fox.foxwho.com 域名 配置 https k8s 创建 secret 上传 fox.foxwho.com.pem, fox.foxwho.com.key 证书文件到 某个临时目录,命令行进入这个目录, 执行命令 kubectl create secret tls fox-secret \ --cert=fox.foxwho.com.crt \ --key=fox.foxwho.com.key
Kubernetes v1.22.2 环境搭建
weixin_34657317的博客
10-21 1297
Kubernetes v1.22.2 环境搭建 文章目录Kubernetes v1.22.2 环境搭建1、环境准备2、三台主机准备工作2.1、修改/etc/hostname文件,更改三台主机名称2.2、更改/etc/hosts文件添加主机名与IP映射关系2.3、永久关闭防火墙和selinux2.4、关闭swap分区2.5、将桥接的IPv4流量传递到iptables的链2.6、Docker安装2.7、安装kubeadm等工具2.7.1、添加阿里云K8s的yum源2.7.2、安装Kubeadm、Kubelet、
Interspeech 2020 DNS Challenge数据集下载方法
fufudayo的博客
07-10 2431
最近要用DNS Challenge2020(第一届)的数据集,发现github上是新版的,不是我所需要的版本。官方文档也比较混乱,故写此文,简单分享下2020dataset下载方法。
如何通过SSLforfree申请免费SSL证书
"本文主要介绍了如何申请和配置免费的SSL证书,特别提到了SSLforfree网站作为申请平台,以及在Nginx服务器上配置SSL证书的步骤和解决可能出现的问题。" 在网络安全日益重要的今天,SSL(Secure Sockets Layer)证书...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值