traefik添加多证书

最新推荐文章于 2024-07-28 00:02:30 发布
最新推荐文章于 2024-07-28 00:02:30 发布
阅读量687 收藏
点赞数
文章标签: 前端 ViewUI
原文链接:http://www.cnblogs.com/zunwen/p/10745655.html
版权
证书准备
  • 自己制作
    这个不赘述了,网上一大把
  • 购买的ssl证书
    这里使用的是购买的ssl证书
问题纠正
  • 有些说法是traefik证书名字必须是tls(比如: tls.pem, tls.key),这是错误的说法,下面就以非tls名字命名的证书来实现traefik ssl证书的添加
  • traefik中ssl和config挂载路径问题
    在traefik-deployment.yaml中我们知道需要挂载配置文件目录和证书目录,有说法是不能修改默认的路径,这种说法是不对的,下面就以非默认路径来进行挂载
配置文件说明
  • traefik.toml
logLevel = "INFO"
insecuresSkipVerify = true
defaultEntryPoints = ["http","https"]
[entryPoints]
  [entryPoints.http]
  address = ":80"
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
      [[entryPoints.https.tls.certificates]]
      certFile = "/files/k8s-files/kubernetes/ssl/card/cr.xxxxxx.cn.pem"  # 1
      keyFile = "/files/k8s-files/kubernetes/ssl/card/cr.xxxxxx.cn.key"
      [[entryPoints.https.tls.certificates]]
      certFile = "/files/k8s-files/kubernetes/ssl/smart/smart.xxxxx.cn.pem" # 2
      keyFile = "/files/k8s-files/kubernetes/ssl/smart/smart.xxxxx.cn.key"
[respondingTimeouts]
readTimeout = "30s"
writeTimeout = "30s"
idleTimeout = "360s"
备注: 上面的1 和 2 两处都是将不同的证书放置于不同的目录(card和smart)下的,这个是k8s比较坑的一点,因为这个证书是需要挂载进traefik容器内部的,如果都将证书放到ssl这一个目录下面而不是ssl下面单独的子目录下面,那么将会覆盖之前的证书,也就是说只有一个证书是可用的。所以这个是这次添加多证书最大的坑。
  • traefik-deployment.yaml
    这里就只贴上volume和volumeMounts两部分了
      containers:
      - image: traefik:latest
        imagePullPolicy: IfNotPresent
        name: traefik-ingress-lb
        volumeMounts:
        - name: "ssl-cr"
          mountPath: "/files/k8s-files/kubernetes/ssl/card"
        - name: "ssl-smart"
          mountPath: "/files/k8s-files/kubernetes/ssl/smart"
        - name: "config"
          mountPath: "/files/k8s-files/kubernetes/cfg"
        ports:
        - name: http
          containerPort: 80
        - name: https
          containerPort: 443
        - name: admin
          containerPort: 8080
        - name: zhuanfa
          containerPort: 5053 
        args:
        - --api
        - --kubernetes
        - --logLevel=INFO
        - --configfile=/files/k8s-files/kubernetes/cfg/traefik.toml
      volumes:
      - name: ssl-cr
        secret:
          secretName: traefik-cert-cr
      - name: ssl-smart
        secret:
          secretName: traefik-cert-smart
      - name: config
        configMap:
          name: traefik-conf
证书生成

以smart.xxxxx.cn为例

cd /files/k8s-files/kubernetes/ssl
kubectl create secret generic traefik-cert-smart --from-file=./smart/smart.xxxxx.cn.pem --from-file=./smart/smart.xxxxx.cn.key -n kube-system
查看traefik-cert-smart这个secret
# Please edit the object below. Lines beginning with a '#' will be ignored,
# and an empty file will abort the edit. If an error occurs while saving this file will be
# reopened with the relevant failures.
#
apiVersion: v1
data:
  smart.xxxxx.cn.key: base64encode   #可以看到这里的名字记录的和我们--from-file指定的名字相同
  smart.xxxxx.cn.pem: base64encode
kind: Secret
metadata:
  creationTimestamp: "2019-04-21T05:08:16Z"
  name: traefik-cert-smart
  namespace: kube-system
  resourceVersion: "2182167"
  selfLink: /api/v1/namespaces/kube-system/secrets/traefik-cert-smart
  uid: 789b5e66-63f3-11e9-9d89-00163e03c41e
type: Opaque
重建配置文件,重启traefik
cd /files/k8s-files/kubernetes/cfg
kubectl create configmap traefik-conf --from-file=traefik.toml -n kube-system
新建一个应用进行测试
  • nginx-test-tls.yaml
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: nginxtls
  namespace: kube-system
  labels:
    addonmanager.kubernetes.io/mode: Reconcile
spec:
  template:
    metadata:
      labels:
        app: nginxtls
    spec:
      containers:
      - name: nginxtls
        image: nginx:1.12.2
        imagePullPolicy: IfNotPresent 
        ports:
        - containerPort: 80
---
apiVersion: v1
kind: Service
metadata:
  name: nginxtls
  labels:
    app: nginxtls
  namespace: kube-system
spec:
  selector:
    app: nginxtls
  ports:
  - name: http
    port: 80
    targetPort: 80
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: nginxtls
  namespace: kube-system
  annotations:
    kubernetes.io/ingress.class: traefik
    traefik.frontend.rule.type: PathPrefixStrip
spec:
  #tls:  注意这里的tls就不要添加了
  #- secretName: traefik-cert-smart
  rules:
  - host: smart.xxxxx.cn
    http:
      paths:
      - path: / 
        backend:
          serviceName: nginxtls 
          servicePort: 80

kubectl create -f nginx-test-tls.yaml

访问测试

1423508-20190421162637707-1565101418.jpg
ok,traefik添加多证书到此结束啦!希望能够帮助到你!

转载于:https://www.cnblogs.com/zunwen/p/10745655.html

weixin_30650039
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
traefik TLS认证配置
zhangshaohuas的博客
09-07 3074
在现在大部分场景下面我们都会使用 https 来访问我们的服务,这节课我们将使用一个自签名的证书,当然你有在一些正规机构购买的 CA 证书是最好的,这样任何人访问你的服务的时候都是受浏览器信任的证书。 一:使用下面的 openssl 命令生成 CA 证书: openssl req -newkey rsa:2048 -nodes -keyout tls.key -x509 -days 365 -out tls.crt [root@k8s-master traefik]# ll 总用量 16 -rw-r--
Traefik为服务添加HTTPS支持
qq_35278597的博客
04-24 1082
Traefik为服务添加HTTPS支持 背景 紧接着Traefik学习这篇文章,尝试使用Let’s Encrypt为Traefik的服务添加HTTPS支持 Let’s Encrypt Let’s Encrypt 是一家免费、开放、自动化的证书颁发机构(CA),为公众的利益而运行。它是一项由 Internet Security Research Group(ISRG)提供的服务。以尽可能对用户友好的方式免费提供为网站启用 HTTPS(SSL/TLS)所需的数字证书Traefik的支持 创建ac
traefik-certs:从traefik提取SSL证书并创建证书文件以在其他地方使用
05-09
特拉菲克证书traefik提取SSL证书并创建证书文件以供其他地方使用的最少服务。 快速开始 请参阅(examples)目录,以了解docker compose演示配置的示例。 配置 环境变量是: 环境变量 默认 描述 CERT_PATH /certs 放置证书的目录的路径 ACME_PATH traefik创建的acme.json的路径 输出 监视acme.json的程序进行更改,并分别复制名称为domain.crt和domain.chain.crt证书证书链。 版权 2018汤姆·塞登 执照
Traefik - 自动签发Let‘s Encrypt 免费ssl证书
DemingLiu的博客
08-05 775
云原生网关服务Traefik 部署使用Let's Encrypt 签发的免费ssl证书
k8s证书续期及版本升级
最新发布
geriletuma
07-28 381
k8s证书续期及版本升级
探索Traefik Certs Dumper:自动化SSL证书管理的新工具
gitblog_00017的博客
04-20 368
探索Traefik Certs Dumper:自动化SSL证书管理的新工具 项目地址:https://gitcode.com/ldez/traefik-certs-dumper 项目简介 Traefik Certs Dumper 是一个由ldez开发的小巧但实用的开源项目,专为那些使用Traefik作为其自动HTTPS解决方案的人设计。它能够帮助你轻松地从Traefik中导出和备份Let's En...
记一次更换网站SSL证书--打包在traefik里面使用docker部署
种一棵树最好的时间是十年前,其次是现在。
06-05 1817
突然发现网站访问时提示:您的连接不是私密连接 攻击者可能会试图从 www.xxxxx.com 窃取您的信息(例如:密码、通讯内容或信用卡信息)。了解详情 NET::ERR_CERT_DATE_INVALID,这就很尴尬了,第一次遇到这种情况,还以为域名解析出错了呢。 点开高级按钮,发现是因为SSL证书过期了。 那么开始更换SSL证书。 选择 填写申请信息 然后就等审核结果就好了。 以为审核会很慢,结果五分钟后刷新下,发现已经审核通过了。 证书下载页面,包含了Tomcat,Apache、ngi
traefik 配置自动申请ssl免费证书
无锋剑
11-28 2702
什么是 SSL 证书? 安全套接字层 (SSL) 证书(有时称为数字证书)用于在浏览器或用户计算机与服务器或网站之间建立加密连接。SSL 连接可保护在每次访问(称为会话)期间交换的敏感数据(例如信用卡信息),以防被非授权方拦截。SSL 连接可保护在每次访问(称为会话)期间交换的敏感数据(例如信用卡信息),以防被非授权方拦截。 实现目标: traefik 转发或者提供的域名都能够支持https 请求...
traefik-helm-chart:Traefik v2掌舵图
02-04
Traefik v2 Helm Chart允许用户配置各种设置,如 TLS 证书、路由规则、中间件和访问日志,以满足不同项目的需求。 使用`traefik-helm-chart-master`压缩包,我们可以按照以下步骤在Kubernetes集群中部署Traefik: ...
Traefik学习
qq_35278597的博客
04-23 845
Traefik学习 背景 因为之前购入了NUC11,在查询Linux服务器能够做什么有意思的事情时,偶然在这篇文章中看到了Traefik这个老熟人,之前在学校项目中也曾计划使用,但是奈何时间不太够,没有进一步接触,现在则重新开始学习这个云原生时代的反向代理工具 本文不打算也不可能完整的介绍Traefik,推荐参考Traefik的官方文档,写的真的很详细,本文如果详细介绍的话,也不过是官方文档的翻译罢了,这里仅大概介绍下自己的理解,以及自己的实际使用案例,慢慢探索! Traefik与Nginx Tra
k8s Ingress(traefik) 配置https 证书
风.foxwho(神秘狐)
05-23 1888
条件 假设有证书 fox.foxwho.com.pem, fox.foxwho.com.key,给 fox.foxwho.com 域名 配置 https k8s 创建 secret 上传 fox.foxwho.com.pem, fox.foxwho.com.key 证书文件到 某个临时目录,命令行进入这个目录, 执行命令 kubectl create secret tls fox-secret \ --cert=fox.foxwho.com.crt \ --key=fox.foxwho.com.key
k3s+traefik+cert-manager+letsencrypt实现web服务全https
知识的灯塔,梦想的航船
10-28 1231
1. 简介 随着 HTTPS 不断普及,越来越多的网站都在从 HTTP 升级到 HTTPS,使用 HTTPS 就需要向权威机构申请证书,需要付出一定的成本,如果需求数量多,也是一笔不小的开支。cert-manager 是 Kubernetes 上的全能证书管理工具,如果对安全级别和证书功能要求不高,可以利用 cert-manager 基于 ACME 协议与 Let’s Encrypt 来签发免费...
证书添加traefik管理的https站点(docker compose)
li1255994653的博客
03-16 307
traefik的command中添加以下设定。在traefik的volume中添加traefik.yaml的文本如下。在站点服务的labels中添加
Traefik HTTPS 配置
weixin_30660027的博客
06-20 587
参考 add-a-tls-certificate-to-the-ingress Entry Points Definition 使用traefik作为ingress controller透出集群中的https后端 1. Traefik 1.1 TLS # 针对 "traefik","cert" 名字必须是 "tls.crt", "key" 名字必须是 "tls.key","traefik-in...
traefik(二) kubernetes 之 traefik配置https
weixin_34387468的博客
12-11 614
前言 上一次对kubernetes配置了 traefik ,如果需要traefik代理https的应用,就需要配置https,下面就针对traefik 的https做配置 准备工作: 下面的操作在deploy节点操作,此节点同时又被定义为了我的master节点。 证书:自己生成,或使用机构颁发的证书,私签证书命令,需要有安装OpenSSL: openssl req -x509 -nodes -d...
k8s实践13:traefik配置https访问
weixin_34260991的博客
04-24 1638
1.参考文档 http://traefik.cn/ 2.访问方式简易说明 参考文档https://tonybai.com/2018/06/25/the-kubernetes-ingress-practice-for-https-service/ 前面一篇:traefik基础部署记录,介绍了最简单的http访问traefik,访问过程参考见下: client --- (via http) ---&g...
Kubernetes ingress配置
驰兔的博客
03-28 962
上篇文章给大家展示了 traefik 的安装使用以及简单的 ingress 的配置方法,这里我们来学习一下 ingress tls 以及 path 路径在 ingress 对象中的使用方法。
外部服务发现之 ingress(二)
ccy19910925的博客
01-24 572
上节课给大家展示了traefik的安装使用以及简单的ingress的配置方法,这节课我们来学习一下 ingress tls 以及 path 路径在 ingress 对象中的使用方法。 TLS 认证 在现在大部分场景下面我们都会使用 https 来访问我们的服务,这节课我们将使用一个自签名的证书,当然你有在一些正规机构购买的 CA 证书是最好的,这样任何人访问你的服务的时候都是受浏览器信任的证书...
kubernetes下traefik申请ssl证书(tlsChallenge、httpChallenge、dnsChallenge)
李炜伦的博客
04-12 1220
traefik有三种ssl证书申请方式,分别是tlsChallenge、httpChallenge、dnsChallenge,让我们来对比一下三种方式的区别 tlsChallenge httpChallenge dnsChallenge 443端口可访问 80端口可访问 指定provider和设置该provider需要的环境变量 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值