在容器服务kubernetes上配置https

最新推荐文章于 2024-05-12 20:26:50 发布
最新推荐文章于 2024-05-12 20:26:50 发布
阅读量1.6k 收藏 1
点赞数
文章标签: java 网络 运维
原文链接:https://yq.aliyun.com/articles/643406
版权

当前容器服务kubernetes支持多种应用访问的形式,最常见的如SLB:Port,NodeIP:NodePort,域名访问等;但是如果用户希望能够通过https进行应用的访问,容器服务kubernetes默认是不支持的,本文旨在通过实际案例演示https的访问配置,帮助用户在容器服务kubernetes中配置自己的证书。

根据访问的方式不同,当前可以分为两种配置证书的方式,分别为在前端SLB上配置证书和在ingress中配置证书。下面我们对两种方式进行详细介绍。

方式一 在前端SLB上配置证书

前提

应用采用LoadBalancer类型的service进行访问暴露。

优点

       证书配置在SLB上,为应用外部访问的入口,在集群内部进行应用的访问依然用的是http访问方式。

缺点

       需要维护较多的域名与IP地址的对应关系。

适用场景

       应用不使用Ingress暴露访问方式,通过LoadBalancer类型的service进行应用访问的暴露。

示例

我们以tomcat为例进行演示。

第一步,创建一个tomcat应用及服务,在这里我们使用控制台进行应用的创建。如下图所示创建的tomcat应用名称为tomcat-https-test,服务名称为tomcat-https-test-svc。其中,service为LoadBalancer类型,暴露的服务端口为8080。

755448efa983f58e94bd75e75b7b11aca47cf75f

       第二步,访问tomcat应用,采用SLB地址进行访问。如下图所示,可以通过IP:Port的方式进行访问。

745f349833166b01061d643bb205b41769d4ae4a

 

第三步,查看service对应的SLB信息。如下图所示可以看到,当前SLB开通的是TCP:8080。如果采用https的访问方式,我们需要将协议和端口改为https:443。

 f3f14f96892ad2865e24d93fade276ad7dc3bd26

 

第四步,在SLB界面添加https的监听。

1、         配置为选择https协议,端口为443;

2、         填入ssl证书,证书生成可以参考生成CA证书

3、         后端服务器端口服务界面找到该服务对应的NodePort;

712c512580f007d7269d7385d2c50ed84bc3f5e5

4、         点击完成创建,创建完成后如下所示。

c75dfd7b2d5a0280d36f91c5ccb2f58dc9f7c5e3

       第五步,访问https的tomcat应用,https://slb_ip。如果在证书中加入了域名验证,可以使用域名进行访问。同时我们没有删除tcp:8080,所以通过slb_ip:8080也可以访问。

bfadf4398e4a249d8c55a82f92a51cc1c0dbfbaf

方式二 在ingress上配置证书

前提

通过ingress暴露应用的访问方式,并且证书在ingress上进行配置。

优点

1、         无需改动SLB的配置

2、         每一个应用都可以通过Ingress管理自己的证书,互不干扰

适用场景

       每个应用都需要单独的证书进行访问;或者集群中存在需要证书才能访问的应用。

示例

同样以tomcat为例进行应用的创建;创建tomcat应用及其服务参考方式一中的步骤。

在这里以tomcat应用及服务创建好为前提。

方法一 通过控制台进行Ingress及其证书配置

第一步,根据准备好的证书创建secret,命令如下:(在后台master节点)

       kubectl create secret tls foo.bar --key tls.key --cert tls.crt

       注意:在这里需要正确配置域名,否则后续通过https访问会有问题。

322f8e863cd388c4cc2735d9a9ebabb96351a371

 

       第二步,登录控制台,找到【应用】->【路由】,点击【创建】进行路由的创建;创建需要填入的参数如下图所示:

7051931ad7eaa5ac3e0eaab2ec96a9be1452258a

      

       第三步,在路由界面找到刚创建的路由test-https,点击详情查看具体信息。

       dc8548cd6a21098f35a027b6a415556d83096d8f

 

       第四步,在详情页面查看具体信息,找到域名;

       4d4fe7de1e5ca61118d7675cbf0dcdb954ba828d

 

       第五步,使用域名进行访问,由于我们创建了TLS证书访问,说以要用https来进行域名的访问,针对该应用,域名访问如下,其中test123.com为示例,需要自己解析。

1b0e6afde6ae9d4fc2430d4f6baee5ba047bdd15

方法二 通过yaml文件进行证书的配置

第一步,根据准备好的证书创建secret,命令如下:(在后台master节点)

       kubectl create secret tls foo.bar --key tls.key --cert tls.crt

       注意:在这里需要正确配置域名,否则后续通过https访问会有问题。

322f8e863cd388c4cc2735d9a9ebabb96351a371

 

       第二步,使用以下yaml文件进行ingress的创建,注意tls的引用;创建命令为kubectl create -f ingress-https.yaml;

               apiVersion: extensions/v1beta1

kind: Ingress

metadata:

   name: test-https

spec:

  tls:

  - hosts:

    - test-https.test123.com

    secretName: test-https

  rules:

  - host: test-https.test123.com

    http:

      paths:

      - path: /

        backend:

          serviceName: tomcat-https-test-svc

          servicePort: 8080

       第三步,在浏览器中访问test-https.test123.com。

       1b0e6afde6ae9d4fc2430d4f6baee5ba047bdd15

 

总结

       建议通过配置Ingress的方式进行证书的配置。

weixin_34384681
关注
Kubernetes集群中配置Ingress支持HTTPS访问
2301_76892755的博客
05-22 1187
HTTPS是安全的HTTP协议,它通过SSL/TLS协议为客户端与服务器之间的通信提供加密。在Kubernetes集群中,Ingress资源管理集群外的访问,通过配置Ingress,我们可以为服务提供安全的HTTPS访问。在Kubernetes集群中配置Ingress以支持HTTPS访问的前提是已经有一套可以正常运行的Kubernetes集群,关于Kubernetes(k8s)集群的安装部署,可以查看博客《Ubuntu 安装部署Kubernetes(k8s)集群》对称加密:使用相同的密钥进行加密和解密。
阿里云 专有云企业版 V3.12.0 容器服务Kubernetes运维指南 20200617
05-18
该指南的重要性体现在它能够帮助用户快速上手阿里云容器服务Kubernetes版,并且提供了详细的操作步骤和注意事项,能够帮助用户避免常见的错误和问题。 该指南的主要内容包括: 1. 组件及作用:介绍容器服务...
Kubernetes(k8s)的ingress部署https应用
XiaoHH的博客
08-29 2001
Kubernetes当中使用Ingress暴露https应用,内容超详细
kubernetes之ingress配置https
树袋熊
05-23 729
创建测试证书 openssl genrsa -out nginx.key 2048 openssl req -new -x509 -key nginx.key -out nginx.crt -subj /C=CN/ST=Beijing/L=Beijing/O=ssltest/CN=www.test.com 其中CN=www.test.com为想要访问的域名 创建secret kubectl create secret tls nginx-secret --cert=nginx.crt --key=ngin
容器配置https
weixin_30627341的博客
11-27 247
生成秘钥库   通过jdk的keytool工具生成秘钥库 keytool -genkeypair -alias "localhost" -keyalg "RSA" -keystore "d:\localhost.keystore" 参考示例: 如果不想这么复杂可以参考如下示例: keytool -genkey -keystor...
阿里云 专有云企业版 V3.12.0 容器服务Kubernetes版 技术白皮书 20200617
05-18
容器服务Kubernetes版的部署主要包括以下步骤:创建集群、配置网络、部署应用程序、配置监控等。创建集群时,需要选择合适的节点类型和数量,配置网络时,需要选择合适的网络模式和参数,部署应用程序时,需要选择...
阿里云 专有云企业版 V3.12.0 容器服务Kubernetes版 用户指南 20200907
05-18
在使用阿里云容器服务Kubernetes版之前,用户需要进行规划和准备,包括环境准备、网络规划、安全规划等。 快速入门 快速入门部分将指导用户快速上手阿里云容器服务Kubernetes版,包括使用流程、登录容器服务控制台...
阿里云 专有云企业版 V3.12.0 容器服务Kubernetes版 产品简介 20200727
05-18
阿里云专有云企业版容器服务Kubernetes版产品简介旨在为用户提供专业的容器服务解决方案,该产品基于Kubernetes技术,提供高性能可伸缩的容器管理服务,支持企业级Kubernetes容器化应用的生命周期管理。 法律声明 ...
阿里云 专有云企业版 V3.12.0 容器服务Kubernetes版 开发指南 20200617
05-18
阿里云容器服务Kubernetes版支持网络管理,包括网络策略的管理、网络配置的管理等。网络管理是容器集群中的一个重要组件,用于管理容器之间的网络通信。 存储管理 阿里云容器服务Kubernetes版支持存储管理,包括...
Kubernetes】为服务开启Https设置
12Dong的博客
04-30 1392
背景 在使用kubernetes mutating webhook admission中,我为测验效果设置了如果不通过检查就无法部署的FailPolicy。遇到了 如下问题:http: server gave HTTP response to HTTPS client 经过一番google,发现是请求要求是HTTPS,返回却是HTTP 这个错误的解决思路大概分两种,需要一一测试: 服务内部的实...
kubernetes集群配置https证书
一个程序员的博客
07-28 2018
下载组件 wget https://github.com/OpenVPN/easy-rsa/archive/master.zip unzip master.zip cd easy-rsa-master/easyrsa3 ./easyrsa init-pki ./easyrsa --batch "--req-cn=192.168.51.26@`date +%s`" build-ca nopa
k8s 给服务设置https访问
李半仙
08-20 2570
k8s 给服务设置https访问 查看Pod kubectl get pods -n <pod 名> 查看 Ingress 配置 kubectl get ingresses -n <ingress 名> 查看 Ingress 相关Pod的分布情况 kubectl get pod -o wide -n ingress-nginx 查看 Ingress Pod 的配置文件 kubectl get pod nginx-ingress-controller-fvcvx -o y
k8s https 认证部署配置相关总结
qianggezhishen的专栏
05-22 1万+
在创建pod时,经常会出现如下问题: E0522 15:22:33.202410 7 authentication.go:64] Unable to authenticate the request due to an error: [invalid bearer token, [invalid bearer token, crypto/rsa: verification error]] ...
Kubernetes 使用 ingress 配置 https 集群(十五)
wangzan18的博客
12-19 565
  一、背景 1.1 需求 我们有这样的一个需求,就是把 Pod 集群升级为 https,目前的办法就是要么每个容器配置 https,然后前端通过 Service 进行调度,但是这样配置起来会比较麻烦,以及每个容器的建立都通过 https ,也增加了建立连接的负担。 我们需要一种这样的改造,就是客户端连接到 Service 是通过 https,而 Service 向后端 Pod 的调度通过...
kubernetes 部署 https 服务
qq_35753140的博客
05-18 555
创建ca证书签名请求文件 ca-cst.json { "CN": "www.abc.com", "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "yngwie", "OU": "ops" } ] } 生成ca证书和私钥 ../cfs.
kubernetes一步一步搭建(二)https访问
热门推荐
程序员的世界
03-05 1万+
  上一篇介绍http方式连接到集群,http方式是不安全,如果内部使用还可以,若是部署到外部则需要使用https增加安全性。下面介绍如何在node2上采用https方式。       上面说到/var/lib/kubelet/kubeconfig文件,并非手动创建,而是通过命令行kubectl config进行配置配置完成之后就会自动生成。  简单介绍一下ApiServer认证,认证一共有三...
docker容器实现https访问
最新发布
MCB134的博客
05-12 965
【云原生】docker容器实现https访问_docker ssl访问-CSDN博客①key 私钥 = 明文--自己生成(genrsa )②csr 公钥 = 由私钥生成③crt 证书 = 公钥 + 签名(自签名或者由CA签名)④证书:server.crt文件就是证书⑤签名:使用私钥key与公钥csr进行证书server.crt生成的过程称为签名。
k8s使用现有证书配置https
vinter_he
09-29 1万+
已有证书 导入证书 #kubectl create secret tls example-secret --key cert/xxx.key --cert cert/xxx.pem 注意 名字和后缀是可以更改的,比如有可能证书的后缀是crt。 ingressde yaml文件配置示例: apiVersion: extensions/v1beta1 kind: Ingress metadata: name: example spec: tls: - hosts: - www
通过AWSServiceBroker在Kubernetes上轻松配置AWS服务
"本文主要介绍了如何使用AWSServiceBroker通过Kubernetes配置AWS服务,强调了容器化工作流中开发人员对依赖项控制的重要性,以及OpenServiceBroker (OSB) API在简化外部依赖项管理中的作用。AWSServiceBroker是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值