基于Secret实现nginx tls认证和私有镜像仓库认证

最新推荐文章于 2024-03-08 21:52:45 发布
最新推荐文章于 2024-03-08 21:52:45 发布
阅读量640 收藏
点赞数
文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43266367/article/details/126617197
版权

基于Secret实现nginx tls认证

签发nginx使用的证书

mkdir nginx-certs && cd nginx-certs
openssl genrsa -out ca.key 4096
openssl req -x509 -new -nodes -sha512 -days 3650 \
 -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=.com" \
 -key ca.key \
 -out ca.crt

openssl genrsa -out server.key 4096
openssl req -sha512 -new \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=www.mysite.com" \
    -key server.key \
    -out server.csr
openssl x509 -req -sha512 -days 3650 \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in server.csr \
    -out server.crt
rm -f server.csr

创建Secret

kubectl create secret tls nginx-cert --key nginx-certs/server.key --cert nginx-certs/server.crt

准备nginx配置文件

cat myserver-tls.conf
###########################
server {
    listen 80;
    server_name www.mysite.com;

    listen 443 ssl;
    ssl_certificate /etc/nginx/conf.d/certs/tls.crt;
    ssl_certificate_key /etc/nginx/conf.d/certs/tls.key;

    include /etc/nginx/conf.d/myserver-*.cfg;

    location / {
        root /usr/share/nginx/html;
        index index.html;
        if ($schme = http){
           rewrite / https://www.mysite.com permanent;
        }

        if (!-e $request_filename) {
           rewrite ^/(.*) /index.html last;
        }
    }
}

将配置文件创建为configmap

kubectl create configmap nginx-tls-conf --from-file=./myserver-tls.conf

部署nginx Pod

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-tls
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx-tls
  template:
    metadata:
      labels:
        app: nginx-tls
    spec:
      containers:
      - name: nginx
        image: nginx
        ports:
        - name: http
          containerPort: 80
        - name: https
          containerPort: 443
        volumeMounts:
        - name: nginx-tls-conf
          mountPath: /etc/nginx/conf.d/
        - name: nginx-cert
          mountPath: /etc/nginx/conf.d/certs/
      volumes:
      - name: nginx-tls-conf
        configMap:
          name: nginx-tls-conf
          optional: false
          items:
          - key: myserver-tls.conf
            path: myserver.conf
      - name: nginx-cert
        secret:
          secretName: nginx-cert
          optional: false

创建Service

apiVersion: v1
kind: Service
metadata:
  name: nginx-tls-svc
spec:
  type: NodePort
  selector:
    app: nginx-tls
  ports:
  - name: http
    protocol: TCP
    targetPort: 80
    port: 80
    nodePort: 30080
  - name: https
    protocol: TCP
    targetPort: 443
    port: 443
    nodePort: 30443

负载均衡中添加配置
在这里插入图片描述
/etx/hosts添加域名解析
在这里插入图片描述
访问测试
在这里插入图片描述
查看证书信息
在这里插入图片描述

私有镜像仓库认证

创建secret

kubectl create secret docker-registry aliyun-image-registry --docker-username=wangxian776 --docker-password=123456 --docker-server=registry.cn-hangzhou.aliyuncs.com

创建pod测试

apiVersion: apps/v1
kind: Deployment
metadata:
  name: centos-test
spec:
  replicas: 2
  selector:
    matchLabels:
      app: centos-test
  template:
    metadata:
      labels:
        app: centos-test
    spec:
      containers:
      - name: centos
        image: registry.cn-hangzhou.aliyuncs.com/wangxian/centos:7.8.2003
        imagePullPolicy: IfNotPresent
        command: ["/bin/bash"]
        args:
        - "-c"
        - "sleep 3600"
      imagePullSecrets:	#指定拉取镜像时使用的secret
      - name: aliyun-image-registry

查看Pod已经成功运行,就表示镜像下载成功
在这里插入图片描述

林凡修
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
3-5 使用secret实现私有仓库镜像下载认证
分享云原生,容器,运维等干货知识
08-15 260
单机拉取私有仓库镜像可以先docker login登录,后保存成认证文件。但在K8s集群,不可能每台node都登录一次,于是可以使用secret实现镜像拉取的认证功能。
Docker私有仓库管理和删除本地仓库中的镜像
01-20
一:Docker私有仓库安装 1、 下载镜像是有镜像仓库: [root@localhost ~]# systemctl start docker #如果已经有镜像了,强制删除原来的镜像的方式如下: [root@xxx-pub /]# docker rmi -f docker.io/registry ...
Juniper L2TP ××× 调试
weixin_33709609的博客
02-24 156
=================防火墙版本======================= Device Information Hardware Version: 110(0) Firmware Version: 5.0.0r8.0 (Firewall+×××) Serial Number: 009804200600011...
【Kubernetes资源篇】Secret加密数据配置管理详解
秦子腾
07-02 1万+
用于存放明文非加密数据,比如程序的配置文件等信息,ConfigMap并不能实现加密,如果存放一下token、密码、秘钥等敏感信息我们要使用Secret类型来进行加密。使用busybox镜像创建Deployment资源,并引入Secret。创建deployment,引入secret。上篇文章讲解了 ConfigMap资源。
Java调用ChatGPT(基于SpringBoot和Vue)实现连续对话、流式输出和自定义baseUrl
热门推荐
2023也要一起加油鸭
02-12 4万+
Java调用ChatGPT(基于SpringBoot和Vue)实现连续对话、流式输出和自定义baseUrl
k8s——configmap-secret-nginx实验
ZhouXin1111112的博客
04-01 1128
4台linux虚拟机,并已经搭建好k8s环境。
Nginx配置Basic Auth登录认证实现方法
09-30
Nginx通过配置可以轻松实现这种认证。 **步骤1:安装httpd-tools** 在开始配置之前,确保已经安装了`httpd-tools`,因为这个工具包包含了用于创建用户和密码的`htpasswd`命令。在大多数Linux发行版中,你可以通过...
docker构建nginx双向认证https服务器
06-18
docker构建nginx双向认证https服务器。 openssl命令生成双向认证自签名证书。 nginx配置https(tls)服务。 浏览器访问服务器需要导入客户端证书到浏览器中。
Nginx+SSL实现双向认证的示例代码
09-30
主要介绍了Nginx+SSL实现双向认证的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
nginx镜像资源nginx镜像资源nginx镜像资源nginx镜像资源nginx镜像资源nginx镜像资源
05-30
nginx镜像资源nginx镜像资源nginx镜像资源nginx镜像资源nginx镜像资源nginx镜像资源
Netscreen L2tp 配置方法
weixin_30951743的博客
10-15 186
一、设置L2TP 用户 1. Objects > Users > Local > New:输入以下内容,然后单击OK: User Name: test Status: Enable L2TP User: (选择) User Password: 123456 Confirm Password: 123456 二、设置L2TP 用户组 4. O...
secret学习笔记
rendongxingzhe的博客
04-19 1202
Secret是用来保存敏感信息的,比如密码、令牌或者key,redis、mysql密码。 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在Pod规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 Secret 类似于ConfigMap但专门用于保存机密数据。 每个 Secret 的尺寸最多为 1MiB。施加这一限制是为了避免用户创建非常大的 Secret, 进而导致 API 服务器和 kubelet 内存耗尽。不过创建很多小的 ...
Portainer添加远程Docker(TLS加密)
万物皆可学
12-23 742
将/data/ca/下生成的ca.pem、cert.pem、key.pem导出到本地,待会要使用这三个文件连接docker。更改ExecStart行的值,使docker守护程序仅接收来自提供CA信任的证书的客户端的链接。把下面命令粘贴进去:wq保存,生成证书私钥签名是比较繁琐的事情,不嫌麻烦一条条手打也是可以的。还是通过API方式,但是这次需要勾选TLS,然后把导出的3个文件,对应上传才能连接上。不开启TLS只通过IP+端口的方式已经连不上了,服务器那边设置了需要验证证书才能连上。修改docker配置。
Docker客户端&Portainer远程TLS访问dockerd小记
paopaohll的博客
03-07 2214
1.需求背景 需要在某一台服务器的控制台操控远程的dockerd 时候,需要用到portainer 和tls 2.生成tls 认证证书和私钥 参考:https://blog.csdn.net/paopaohll/article/details/88300989 3.配置dockerd 启动文件 此处以Centos7为例: vim /usr/lib/systemd/system/docker.s...
【运维】portainer管理远程docker和docker-swarm集群
最新发布
飞的博客
03-08 1885
使用前请先安装docker和docker-compose,同时完成。
如何在kubernetes中将secret标记为可选或必选?
琦彦
04-28 1815
使用环境变量方式创建带有secret的pod 创建username为bob的secret kubectl create secret generic super-secret --from-literal=username=bob 创建带有secret的pod apiVersion: v1 kind: Pod metadata: creationTimestamp: null ...
Portainer访问远程Docker (TLS加密)
hjc_042043的博客
02-02 627
安全访问远程docker的配置,避免Docker Remote API未授权访问漏洞
docker集群(二)--portainer+TLS安全连接docker主机(详细介绍与使用心得)
weixin_33724059的博客
10-11 779
https://blog.51cto.com/mysky0708/2298049承接上文,在生产中如何安全的链接docker主机呢?我们采用TLS秘钥方式。步骤:第一部分:首先在docker主机上生成秘钥,保存到指定地方;第二部分:在管理节点(portainer)上,指定上述秘钥,添加节点。 具体实施过程:第一部分代码如下 read -s PASSWORD //定义一个密码变量 read SE...
K8S对象-secret及应用(k8s 使用harbor镜像仓库,http,https 自签CA证书)
运维玄德公
06-07 1566
1. 概述 1.1 作用 1.2 三种类型 2. docker registry 2.1 http库的使用 2.2 https仓库的使用 2.2.1 获取config.json的编码 2.2.2 创建secret 2.2.3 使用 3. generic 4. tls
nginx maven私有仓库
09-19
nginx maven私有仓库是通过将nginx配置为web容器来搭建的。首先,你需要安装和配置nginx。然后,你可以使用Maven发布命令将构件上传到nginx服务器并将其配置为私有仓库。你还可以使用nginx的访问控制来限制对私有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值