kubernetes使用traefik的https方式访问web应用

最新推荐文章于 2022-10-28 23:22:00 发布
最新推荐文章于 2022-10-28 23:22:00 发布
阅读量345 收藏
点赞数
文章标签: 后端 前端 java ViewUI
原文链接:https://yq.aliyun.com/articles/679783
版权

背景
之前的文章中,我已经利用kubernetes的traefik服务作为入口,访问了tomcat的相关 服务,但之前的文章是通过http的方式来访问的。在现实应用中,为了安全考虑,肯定有https访问的需求,这里我们就通过traefik来实现https的访问。
之前的文章链接:http://blog.51cto.com/icenycmh/2124502

实验操作
一:想开启https,证书是少不了的。可以自己手动建一个证书,或者利用已经有的证书。这里我用已经申请的一个ssl证书,对应的域名为*.gzshapp.com。

二:创建一个secret,保存https证书。

# ll
total 12
-rw-r--r-- 1 root root 5477 Mar 30 16:32 _.gzshapp.com_bundle.crt
-rw-r--r-- 1 root root 1708 Mar 28 14:01 _.gzshapp.com.key

# kubectl create secret generic traefik-cert --from-file=_.gzshapp.com_bundle.crt --from-file=_.gzshapp.com.key -n kube-system

把证书拷贝到k8s node节点,本例中,存放证书的目录为:/opt/conf/k8s/ssl/。

三:创建一个configmap,保存traefix的配置。
这里的traefix中配置了把所有http请求全部rewrite为https的规则,并配置相应的证书位置:

# vi traefik.toml
defaultEntryPoints = ["http","https"]
[entryPoints]
 [entryPoints.http]
 address = ":80"
 [entryPoints.http.redirect]
 entryPoint = "https"
 [entryPoints.https]
 address = ":443"
 [entryPoints.https.tls]
 [[entryPoints.https.tls.certificates]]
 certFile = "/opt/conf/k8s/ssl/_.gzshapp.com_bundle.crt"
 keyFile = "/opt/conf/k8s/ssl/_.gzshapp.com.key" # kubectl create configmap traefik-conf --from-file=traefik.toml -n kube-system

把traefik.toml文件拷贝到k8s node节点,本例中,traefik的存放目录为:/opt/conf/k8s/conf/。

四:重新部署Traefix,这里主要是要关联创建的secret和configMap,并挂载相对应的主机目录。

# more traefik-deployment.yaml  apiVersion: extensions/v1beta1 kind: Deployment metadata:
 name: traefik-ingress-lb
 namespace: kube-system
 labels:
 k8s-app: traefik-ingress-lb
spec:
 replicas: 2
 template:
 metadata:
 labels:
 k8s-app: traefik-ingress-lb
 name: traefik-ingress-lb
 spec:
 terminationGracePeriodSeconds: 60
 volumes:
 - name: ssl
 secret:
 secretName: traefik-cert
 - name: config
 configMap:
 name: traefik-conf
 hostNetwork: true
 restartPolicy: Always
 serviceAccountName: ingress
 containers:
 - image: traefik
 name: traefik-ingress-lb
 volumeMounts:
 - mountPath: "/opt/conf/k8s/ssl"
 name: "ssl"
 - mountPath: "/opt/conf/k8s/conf"
 name: "config"
 ports:
 - name: http
 containerPort: 80
 hostPort: 80
 - name: admin
 containerPort: 8580
 hostPort: 8580
 args:
 - --configFile=/opt/conf/k8s/conf/traefik.toml
 - --web
 - --web.address=:8580
 - --kubernetes

# kubectl apply -f traefik-deployment.yaml

五:测试效果。
这里我们可以登陆traefik-ui界面,可以看到原本http的访问,traefik会直接给我们重定向至https。

kubernetes使用traefik的https方式访问web应用
由于traefik-ui使用的域名不是我们证书所支持的域名,故这里显示了不安全的提示。这里我修改了之前文章中创建的tomcat-test的ingress,修改其中的域名为证书所支持的域名,再进行一次测试: 

# vi ingress-tomcat.yaml 
---
apiVersion: extensions/v1beta1 kind: Ingress metadata:
 name: tomcat-test-web
 namespace: default
 annotations:
 kubernetes.io/ingress.class: traefik
 traefik.frontend.rule.type: PathPrefixStrip
spec:
 rules:
 - host: test.gzshapp.com
 http:
 paths:
 - path: /test1/
 backend:
 serviceName: tomcat-test1
 servicePort: 8080
 - path: /test2/
 backend:
 serviceName: tomcat-test2
 servicePort: 8080

# kubectl apply -f ingress-tomcat.yaml

这里我们修改ingress的域名为test.gzshapp.com,修改一下host,再访问测试一下:

192.168.232.129 test.gzshapp.com
192.168.232.131 test.gzshapp.com

kubernetes使用traefik的https方式访问web应用
kubernetes使用traefik的https方式访问web应用
可以看到我们的配置已经生效了。

其他需求
当然,现实环境中肯定针对不同情况,有很多的不同需求。比如,访问需同时支持http和https、只有部分域名需要https强制跳转,后端代理https的应用等。这里我们可以一个个来根据需求配置traefik。
1:同时支持http和https:(把http中的rewrite代码改掉)

defaultEntryPoints = ["http","https"]
[entryPoints]
 [entryPoints.http]
 address = ":80"
 entryPoint = "https"
 [entryPoints.https]
 address = ":443"
 [entryPoints.https.tls]
 [[entryPoints.https.tls.certificates]]
 certFile = "/opt/scripts/traefik/https/_.gzshapp.com_bundle.crt"
 keyFile = "/opt/scripts/traefik/https/_.gzshapp.com.key"

2:仅配置部分域名强制跳转https:(在http.redirect中编写对应域名的正则)

defaultEntryPoints = ["http","https"]
[entryPoints]
 [entryPoints.http]
 address = ":80"
 [entryPoints.http.redirect]
 regex = "^http://test.gzshapp.com/(.*)"
 replacement = "https://test.gzshapp.com/$1"
 [entryPoints.https]
 address = ":443"
 [entryPoints.https.tls]
 [[entryPoints.https.tls.certificates]]
 certFile = "/opt/conf/k8s/ssl/_.gzshapp.com_bundle.crt"
 keyFile = "/opt/conf/k8s/ssl/_.gzshapp.com.key"

3:traefik代理后端https请求:
这里我修改了一下我的tomcat服务,开放了8443的https端口,并修改了一下ingress的配置,如下:

kubernetes使用traefik的https方式访问web应用
可以看到我新建了一个ingress,域名为test-ssl.gzshapp.com,其中/test1/后端为8443的https服务,/test2为8080的http服务。修改host,用https协议分别访问,结果如下:
kubernetes使用traefik的https方式访问web应用
kubernetes使用traefik的https方式访问web应用
可以看到,访问test1的时候,反回了“Bad Gateway”错误。访问test2,则正常。这可能是因为后端的tomcat服务的使用了自签证书的原因,导致了访问失败,也可能是traefik自身的原因,这里不去深究。
这里可以修改traefik的配置,添加insecureSkipVerify = true即可解决这一个问题。这个traefik的配置禁用了对后端的证书检查。 

insecureSkipVerify = true
defaultEntryPoints = ["http","https"]
[entryPoints]
 [entryPoints.http]
 address = ":80"
 entryPoint = "https"
 [entryPoints.https]
 address = ":443"
 [entryPoints.https.tls]
 [[entryPoints.https.tls.certificates]]
 certFile = "/opt/conf/k8s/ssl/_.gzshapp.com_bundle.crt"
 keyFile = "/opt/conf/k8s/ssl/_.gzshapp.com.key"

kubernetes使用traefik的https方式访问web应用本文转自开源中国- kubernetes使用traefik的https方式访问web应用

weixin_34122810
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用 k8s+Ingress+Traefik 搭建一个外网可以访问Web 服务
公众号 Java4ye
10-24 3191
用 k8s+Ingress+Traefik 搭建一个外网可以访问Web 服务
RN+dva+node+mongo+nginx+docker 从开发到部署,全栈入坑指引!
weixin_34250434的博客
06-04 194
项目地址 前言 作为一个优秀前端er,除了要精通前端基础外,其他的如后台,运维,linux等都要有所了解。这样你才能对自己所负责的项目有一个整体的把握,不同端开发思维的碰撞,有助于你形成良好的代码习惯,写出高效优质的代码。话不多说,我们开始吧! 背景 这是个学习型的项目,还有些需要优化的地方,项目是参考 https://github.co...
TeamTalk安装部署手册
mao834099514的博客
01-04 6072
TeamTalk安装部署手册 1.部署环境 操作系统:CentOS 7 X64(由于gcc版本问题,官方推荐centos7), CPU:2核 内存:1024M 硬盘:8G 虚拟机:VirtualBox4.3.28 用户:root 2.编译依赖环境 ###编译环境 部署前须安装:gcc、gcc-c++、zip、unzip、wget TeamTalk编译需要依
erlang app程序打包及启动流程
bestpool的专栏
07-12 2409
我们写完一组功能模块后(在erlang中,以module为单位),总是希望这一组模块,可以打包成一个应用,作为一个单独的整个,可以启动,停止,象 mnesia一样。并可以在其它应用中引用。如何来做到这一点呢。每一个应用都是通过application:start系列函数来启动,ap
kubernetes-traefik使用Traefik作为网络入口和LoadBalancer的开源kubernetes部署
02-26
kubernetes-traefik 使用Traefik作为Network Ingress和LoadBalancer的开源Kubernetes部署。
terraform-gcp-kubernetes-traefik:有关如何使用terraform部署gke集群并将traefik用作入口控制器的小例子
02-04
terraform-gcp-kubernetes-traefik:有关如何使用terraform部署gke集群并将traefik用作入口控制器的小例子
loginapp:使用OIDC进行Kubernetes CLI配置Web应用程序
05-06
登录应用使用OIDC进行Kubernetes CLI配置Web应用程序用法Perform configuration checks and run Loginapp.Loginapp supports three configuration formats:* Configuration file: ' --config ' flag* Flags: ' --...
使用Helm管理kubernetes应用
01-07
Helm使发布可配置,支持发布应用配置的版本管理,简化了Kubernetes部署应用的版本控制、打包、发布、删除、更新等操作。 做为Kubernetes的一个包管理工具,用来管理charts——预先配置好的安装包资源,有点类似于...
Kubernetes初探:原理及实践应用
02-26
Kubernetes是Google开源的Docker容器集群管理系统,为容器化的应用提供资源调度、部署运行、服务发现、扩容缩容等整一套功能,本文旨在梳理其架构、概念及基本工作流,并通过一个示例应用介绍如何使用Kubernetes。...
玩玩直播,搭建一个流媒体服务器
编程之家出品
10-19 2610
现在抖音、快手等直播实在是太火了,因此对音视频的开发非常感兴趣,查阅了相关资料,使用Nginx搭建一个简单的直播跟点播流媒体服务器,能够实时推流到服务器,同时在网页端播放直播的视频。 先上效果 ​ 使用OBS软件录制电脑桌面操作推流到自己搭建的流媒体服务器,然后在网页拉流播放。当然也可以采集摄像头、麦克风推流,或者推送本地视频到流媒体服务器。 搭建步骤 Ubuntu18.04安装nginx-flv模块扩展 这里我是用虚拟机安装了Ubuntu18.04先下载nginx1.19.3的源码与nginx-ht.
Nginx创建和配置免费证书
兴乐安宁的博客
09-23 471
Let’s Encrypt 的证书有效期是 90 天的,你需要定期 renew 重新申请,这部分 acme.sh 以及帮你做了,在安装的时候往 crontab 增加了一行每天执行的。Let’ s Encrypt 将会通过你要注册的域名去访问那个文件来确定权限,它可能会去访问 http://xxxx.xxxx.com/.well-known/ 这个路径。/opt/lucky/nginx/conf/keys/test 这个目录路径需要提前创建好。
kubernetes使用Traefik暴露web服务
weixin_34342207的博客
06-04 737
Traefix介绍(摘自网络)      traefik 是一个前端负载均衡器,对于微服务架构尤其是 kubernetes 等编排工具具有良好的支持;同 nginx 等相比,traefik 能够自动感知后端容器变化,从而实现自动服务发现。      traefix的架构如下:Traefix的部署使用部署环境:     k8s-node1(master):192.168.232.130     k8...
k3s+traefik+cert-manager+letsencrypt实现web服务全https
Joe'¤'Potter
10-28 1121
1. 简介 随着 HTTPS 不断普及,越来越多的网站都在从 HTTP 升级到 HTTPS使用 HTTPS 就需要向权威机构申请证书,需要付出一定的成本,如果需求数量多,也是一笔不小的开支。cert-manager 是 Kubernetes 上的全能证书管理工具,如果对安全级别和证书功能要求不高,可以利用 cert-manager 基于 ACME 协议与 Let’s Encrypt 来签发免费...
什么是跨域,如何解决跨域问题
weixin_51060775的博客
04-02 1142
跨域 协议,域名,端口,三者有一不一样,就是跨域 如何解决跨域 目前有两种最常见的解决方案: CORS,在服务器端设置几个响应头,如Access-Control-Allow-Origin: * Reverse Proxy,在 nginx/traefik/haproxy 等反向代理服务器中设置为同一域名 JSONP,详解见JSONP 的原理是什么,如何实现(opens new window) 附代码: nginx 关于跨域的配置 出现跨域问题的原因: 在前后端分离的模式下,...
traefik 配置https
takujo的博客
02-23 1811
1.前置条件,可以查看这篇文章生成测试证书 测试证书生成 2.静态配置 # 流量入口 entryPoints: web: address: :80 forwardedHeaders: insecure: true http: # 重定向到443 redirections: entryPoint: to: websecure scheme: https websecure:
K3s(Kubernetes)环境使用Let‘s Encrypt证书的部署及自动配置https域名-阿里云域名解析管理
风.foxwho(神秘狐)
02-22 2670
https://blog.csdn.net/ai524719755/article/details/116712931 ## 注意版本号 docker pull quay.io/jetstack/cert-manager-cainjector:v1.6.0 docker pull quay.io/jetstack/cert-manager-controller:v1.6.0 docker quay.io/jetstack/cert-manager-webhook:v1.6.0 helm install
traefik https配置
可可飞扬的博客
10-30 1094
转自:https://blog.csdn.net/lusyoe/article/details/81298231 在kubernetes使用traefik暴露服务,添加https支持 使用购买的证书或者私签证书 私签证书: # 私钥 openssl genrsa -out rsa_private_key.pem 2048 # 生成公钥 openssl rsa -in rsa_priv...
使用nginx解决k8s traefik中basic auth的跨域问题
Anteoy的博客
01-09 2967
目地目前k8s ingress是配合traefik使用的,此时需要对某一个域名添加一个basic auth安全认证,原本traefik也可以正常配置(生产环境已有不少使用traefik basic auth),但是由于此处的域名需要在其他web域中调用,涉及到跨域问题,参考traefik文档未发现在k8s有关联说明解决basic auth相关跨域问题。后来分析了下nginx下的basic auth,
如何使用Traefik代理转发外部连接访问k3s集群
最新发布
07-14
traefik.ingress.kubernetes.io/router.entrypoints: web spec: rules: - host: example.com # 替换为你的域名 http: paths: - path: / pathType: Prefix backend: service: name: myapp-service # 替换...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值