Ambassador系列-08-TLS配置-HTTPS重定向和TLS终结

最新推荐文章于 2022-02-18 21:47:25 发布
最新推荐文章于 2022-02-18 21:47:25 发布
阅读量1k 收藏
点赞数
分类专栏: Ambassador 文章标签: Ambassador 网关 gateway TLSContext TLS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/twingao/article/details/103791860
版权

HTTPS重定向

当前大多数网站都会自动将http请求重定向为https请求。上游服务如果需要支持重定向https需要配置变动或者编码。Ambassador支持在网关直接拦截http请求并重定向为https请求功能,上游服务不用做任何变动。

Client                    Ambassador
|                             |
| http://<hostname>/api       |
| --------------------------> |
| 301: https://<hostname>/api |
| <-------------------------- |
| https://<hostname>/api      |
| --------------------------> |
|                             |

TLS终结

客户端通过https访问上游服务,但上游服务不用启用https监听,Ambassador会监听https请求,并终结https,Ambassador将转发给上游服务的请求转为http。

客户端 -->> https --> Ambassador --> http – 上游服务

需要Ambassador放开https监听端口,Deployment缺省已经监听了8443端口。

vi ambassador-rbac.yaml
......
        ports:
        - name: http
          containerPort: 8080
        - name: https
          containerPort: 8443
        - name: admin
          containerPort: 8877
        - name: mysql
          containerPort: 3306
......

kubectl apply -f ambassador-rbac.yaml

Ambassador服务应该将nodePort暴露为缺省端口http:80和https:443。

vi ambassador-service.yaml
---
apiVersion: v1
kind: Service
metadata:
  labels:
    service: ambassador
  name: ambssador
spec:
  type: NodePort
  ports:
  - name: http
    port: 80
    protocol: TCP
    targetPort: 8080
    nodePort: 80
  - name: https
    port: 443
    protocol: TCP
    targetPort: 8443
    nodePort: 443
  - name: mysql
    port: 3306
    protocol: TCP
    targetPort: 3306
    nodePort: 33306
  selector:
    service: ambassador

kubectl apply -f ambassador-service.yaml

kubectl get svc
NAME               TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)                                AGE
ambassador-admin   NodePort    10.106.34.114    <none>        8877:38877/TCP                         9d
ambssador          NodePort    10.101.169.174   <none>        80:80/TCP,443:443/TCP,3306:33306/TCP   91m
echo               ClusterIP   10.99.237.186    <none>        8080/TCP,80/TCP                        9d
echo-v1            ClusterIP   10.109.144.3     <none>        8080/TCP,80/TCP                        14h
echo-v2            ClusterIP   10.99.106.214    <none>        8080/TCP,80/TCP                        14h
httpbin            ClusterIP   10.105.136.255   <none>        80/TCP                                 17h
kubernetes         ClusterIP   10.96.0.1        <none>        443/TCP                                32d
mysql-service      ClusterIP   10.99.98.30      <none>        3306/TCP                               50m

配置tls上下文,先创建证书secret,将https证书和私钥存储到secret中。

#创建一个私钥
openssl genrsa -out key.pem 2048
Generating RSA private key, 2048 bit long modulus
............+++
.........................+++
e is 65537 (0x10001)

#创建一个自签名的证书
openssl req -x509 -key key.pem -out cert.pem -days 365 -subj '/CN=ambassador-cert'

ll *.pem
-rw-r--r-- 1 root root 1111 12月  8 13:29 cert.pem
-rw-r--r-- 1 root root 1679 12月  8 13:28 key.pem

kubectl create secret tls ambassador-cert --cert=cert.pem --key=key.pem

vi tls-context.yaml
apiVersion: getambassador.io/v1
kind: TLSContext
metadata:
  name: tls
spec:
  hosts: ["*"]
  secret: ambassador-cert
  redirect_cleartext_from: 8080

kubectl apply -f tls-context.yaml

重新部署echo server服务和Mapping。

vi echo-server-service.yaml
apiVersion: v1
kind: Service
metadata:
  labels:
    app: echo
  name: echo
spec:
  ports:
  - port: 8080
    name: high
    protocol: TCP
    targetPort: 8080
  - port: 80
    name: low
    protocol: TCP
    targetPort: 8080
  selector:
    app: echo
---
apiVersion: apps/v1beta1
kind: Deployment
metadata:
  labels:
    app: echo
  name: echo
spec:
  replicas: 2
  selector:
    matchLabels:
      app: echo
  strategy: {}
  template:
    metadata:
      creationTimestamp: null
      labels:
        app: echo
    spec:
      containers:
      - image: gcr.io/kubernetes-e2e-test-images/echoserver:2.2
        name: echo
        ports:
        - containerPort: 8080
        env:
          - name: NODE_NAME
            valueFrom:
              fieldRef:
                fieldPath: spec.nodeName
          - name: POD_NAME
            valueFrom:
              fieldRef:
                fieldPath: metadata.name
          - name: POD_NAMESPACE
            valueFrom:
              fieldRef:
                fieldPath: metadata.namespace
          - name: POD_IP
            valueFrom:
              fieldRef:
                fieldPath: status.podIP
        resources: {}

vi echo-server-mapping.yaml
---
apiVersion: getambassador.io/v1
kind: Mapping
metadata:
  name: echo-server-mapping
spec:
  prefix: /foo
  service: echo:8080

kubectl apply -f echo-server-service.yaml
kubectl apply -f echo-server-mapping.yaml

可以看出发出http请求时,Ambassador返回301,强制重定向到https,curl重新发起https请求,最终echo server正常返回,此过程中echo server是不需要支持https的。

curl -i -L -k http://192.168.1.50/foo
HTTP/1.1 301 Moved Permanently
location: https://192.168.1.50/foo
date: Sun, 08 Dec 2019 09:22:21 GMT
server: envoy
content-length: 0

HTTP/1.1 200 OK
date: Sun, 08 Dec 2019 09:22:21 GMT
content-type: text/plain
server: envoy
x-envoy-upstream-service-time: 12
lua-scripts-enabled: Processed
transfer-encoding: chunked


Hostname: echo-5599595fd9-2vfnt

Pod Information:
        node name:      k8s-node1
        pod name:       echo-5599595fd9-2vfnt
        pod namespace:  default
        pod IP: 10.244.1.26

Server values:
        server_version=nginx: 1.14.2 - lua: 10015

Request Information:
        client_address=10.244.2.27
        method=GET
        real path=/
        query=
        request_version=1.1
        request_scheme=http
        request_uri=http://192.168.1.50:8080/

Request Headers:
        accept=*/*
        content-length=0
        host=192.168.1.50
        user-agent=curl/7.29.0
        x-envoy-expected-rq-timeout-ms=3000
        x-envoy-internal=true
        x-envoy-original-path=/foo
        x-forwarded-for=10.244.0.0
        x-forwarded-proto=https
        x-request-id=9d3b35e8-f42e-4dbb-8a53-b2a06f23041e

Request Body:
        -no body in request-

为了后续的测试,删除tls-context。

kubectl delete -f tls-context.yaml

Ambassador系列文章

Ambassador系列-01-介绍、安装和使用

Ambassador系列-02-Module模块

Ambassador系列-03-服务配置和服务发现

Ambassador系列-04-服务配置Mapping

Ambassador系列-05-负载均衡

Ambassador系列-06-金丝雀发布、断路器、CORS和流量镜像

Ambassador系列-07-TCP映射TCPMapping

Ambassador系列-08-TLS配置-HTTPS重定向和TLS终结

Ambassador系列-09-AuthService认证服务

Ambassador系列-10-RateLimitService限速服务

Ambassador系列-11-Helm安装Ambassador Edge Stack 1.1.0

twingao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HAProxy终结TLS双向认证代理EMQX集群
架构师实战感悟
09-08 677
MQTT协议已经成为当前物联网领域的关键技术之一,当前市面上主流的实现MQTT协议的产品主要有 EMQX、Mosquito、NanoMQ等。本文以EMQX开源版为基础,构建 MQTT Broker 集群,并使用 HAProxy代理 MQTT Broker 集群,由 HAProxy 开启双向认证,并终结TLS,HAProxy 到 MQTT Broker 集群的流量采用非加密模式。
HTTP/HTTPS和TCP、TLS/SSL的那些关系
最新发布
weixin_43126297的博客
07-07 4922
从不同协议去解释了整个握手的过程,什么是握手,怎么握手,怎么挥手,为什么三次、为什么四次、怎么加密、为什么选择这种捂手的方式、以及证书的一个信任传递的问题。
服务网格Istio实践
06-16
Istio 提供一种简单的方式来为已部署的服务建立网络,该网络具有负载均衡、服务间认证、监控等功能,而不需要对服务的代码做任何改动。适用于容器或虚拟机环境(特别是 k8s),兼容异构架构。     istio 使用 sidecar(边车模式)代理服务的网络,不需要对业务代码本身做任何的改动。通过丰富的路由规则、重试、故障转移和故障注入,可以对流量行为进行细粒度控制;支持访问控制、速率限制和配额。对出入集群入口和出口中所有流量的自动度量指标、日志记录和跟踪。注意: 需熟练的掌握kubernetes的使用,对网络、Ingress、metallb、prometheus有一定的了解更佳。本套课程主要讲解Istio的三个大的方面: 1.  流量管理:故障注入、流量整理、请求超时、断路保护、流量镜像、入口网关、出口网关等。 2.  安全: 证书管理,双向的TLS认证,针对比如HTTP、TCP流量的授权等。 3.  度量收集和遥测:各服务、应用、工作流度量的收集,日志的收集分析,分布式链路的追踪,服务网格的可视化等。
TLS学习总结
weixin_34242509的博客
09-04 289
我们有知道 Immunity Debugger,OD 调试器,在调试程序时会设断在OEP(修改第一个字节0xcc)。我在想,使用什么编程技术,代码可以在OEP前被执行。在网上找了些资料,在论坛上看到许多大牛,使用静态TLS做了好多有趣的事,今天自己也来终结下,,呵呵 1. 什么是TLSTLS是Thread Local Storage(线程局部存储)的简称,是一项解决多线程内...
SSL证书/TLS证书是什么
donghaixiaolongwang的博客
01-29 1万+
A. SSL协议与TLS是什么?它们的功能是什么? 答:SSL(Security Socket Layer)是一种广泛运用在互联网上的资料加密协议;TLS是SSL的下一代协议。透过它我们可以: 1. 在互联网上传输加密过的资料以达到资安的目的。 2. 保持从端点A到端点B的传送路途中资料的完整性。 3. 透过SSL证书内的公共金钥加密资料传输至服务器端,服务器端用私密金钥解密来证明
ambassador-docs:官方大使 API 网关文档库
07-24
aes-pages.yml文件标识哪些页面应标记为“Ambassador Edge Stack”页面。 文档基础设施说明 可以使用git subtree将这个存储库中的文档“出售”到其他存储库中。 鼓励这样做的存储库包含某种方便的工具,以使同步...
ampub-gcppubsub:用于发布的Google Cloud PubSub大使容器
02-05
ampub-gcppubsub 用于Google Cloud Pub / Sub发布。 设想用作容器。 讯息格式 AmPub API提供主题字符串,请求正文字节以及可选的密钥字符串。 主题字符串=发布/订阅主题 请求正文字节=消息数据 ...
Python-Ambassador基于EnvoyProxy构建用于微服务的开源Kubernetes原生API网关
08-10
Ambassador:基于Envoy Proxy构建用于微服务的开源Kubernetes原生API网关
ambassador-backend
03-16
Laravel拥有所有现代Web应用程序框架中最广泛,最全面的和视频教程库,因此轻而易举地开始使用该框架。 如果您不想读书,可以使用帮助。 Laracasts包含1500多个视频教程,涉及各种主题,包括Laravel,现代PHP,...
linux-haproxycontainerimage构建自HAProxy负载均衡器的源容器映像
08-13
haproxy (container image):构建自HAProxy负载均衡器的源容器映像
SSL/TLS概述
心梦无痕
12-29 600
文章目录TLS/SSL协议设计目的握手协议TLS安全密码套件解读对称加密和非对称加密对称加密AES加密算法详解对称加密分组模式非对称加密混合加密摘要算法数字签名数字证书和CA TLS/SSL协议 TLS/SSL位于TCP层和应用层之间,具体如下图所示 设计目的 身份验证 保密性 完整性 握手协议 验证通讯双方的身份 交换加解密的安全套件 协商加密参数 TLS安全密码套件解读 SSL/T...
关于TLS经验小结(上)
Dearmark的博客
10-11 698
1.什么是tls? 安全传输层协议(Transport Layer Security)用于在两个通信应用程序之间提供保密性和数据完整性。TLS是SSL的标准化后的产物,有有1.0 1.1 1.2 1.3四个版本,目前最常用的是tls1.2协议。 1.tls的一些概念 1.1 算法种类 非对称加密: RSA DH 对称加密: AES DES Hash算法(散列): md5 sha1 sha
23【istio】-【流量管理】-【Ingress gateway】不带TLS终结器的ingress gateway
qq_42303254的博客
02-18 1000
这里以istio 1.6.0为例 不同版本的istio安装步骤参考官网:Istio / Ingress Gateway without TLS Termination 注:这里只给出相关步骤参考,在实践时,结合该博客、官网一起看。 什么是不带TLS终结器的ingress gateway呢?上篇博客中:客户端访问https://httpbin.example.com:443/status/408时,相当于,客户端【访问https://httpbin.example.com:443/stat...
Ambassador系列-04-服务配置Mapping
twingao的专栏
01-01 1517
Ambassador设计旨在让Kubernetes服务的开发者可以轻松灵活地配置流量如何路由到该服务,其核心是Mapping资源,支持7层的HTTP,GRPC和Websocket,也可以通过TCPMapping支持4层的TCP连接。Ambassador必须定义一个或多个Mapping才能访问上游服务。 Mapping通过不同的配置选项实现不同的路由规则,下面进行说明。 增加Request Head...
网站重定向-http怎么重定向https最全解决方案
热门推荐
jackbon8的博客
11-28 3万+
前言: 本教程主要是对 网站http重定向https,其中包括目前市面上常用各种服务器环境(Apache,Ngnix,IIS7系列)设置方法。 下面不啰嗦,直接上干货!!! 第一“IIS7” 环境中的设置方法 1.下载安装IIS的URL重写模块:Microsoft URL Rewrite Module 下载链接↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓ 如果你电脑是32位的点击我下载吧 如果你服务器是6...
Ambassador系列-01-介绍、安装和使用
twingao的专栏
01-01 3466
介绍 Ambassador是由Datawire公司开源的一个API网关项目,在Github上有2.3K star。 Ambassador当前(2019-12-11)的最新的版本是0.86.0,马上准备发布1.0.0版本,更新很频繁,而且主要在y版本更新,已经趋于成熟。 从0.50.0版本开始从apiVersion: getambassador.io/v0升级为apiVersion: getamba...
Ambassador系列-07-TCP映射TCPMapping
twingao的专栏
01-01 1249
Ambassador除了支持7层的HTTP,GRPC和Websocket,也可以通过TCPMapping支持4层的TCP连接。 我们先部署一MySQL上游服务,MySQL不对外暴露NodePort,让Ambassador代理对MySQL的访问。 先修改Ambassador的Deployment,将3306 容器端口放开。 vi ambassador-rbac.yaml kind: Deployme...
ambassador 学习一基本试用
weixin_33946020的博客
07-05 437
安装使用docker for mac Without RBAC 安装ambassador 安装 kubectl apply -f https://getambassador.io/yaml/ambassador/ambassador-no-rbac.yaml 创建service --- apiVersion: v1 kind: Service ...
在HTTP/1.1中升级到TLS(Upgrading to TLS Within HTTP/1.1)
03-16 1840
本备忘录的状态本文档为Internet社区定义Internet标准协议,同时征求改进意见和建议。关于本协议的现状和标准化状态请参阅“Internet官方协议标准”(STD 1)。本备忘录的发布不受任何限制。版权声明Copyright (C) The Internet Society (2000). All Rights Reserved.摘要本文档描述如何使用HTTP/1.1的升级机制在一个现存

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值