如何在Kubernetes里配置Ingress TLS证书

最新推荐文章于 2024-01-26 11:34:56 发布
最新推荐文章于 2024-01-26 11:34:56 发布
阅读量1.5k 收藏 15
点赞数 30
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45363959/article/details/134940116
版权

注意: SSL和TLS是一样的,SSL是旧的版本,TLS是新版本的SSL。

1.前提条件

有一个正常工作的ingress controller。

2.获取kubernetes ingress SSL/TLS证书

对于ingress TSL的基本要求是有TSL/SSL证书,可以通过下面几种方法获得证书。

2.1 自签名的证书:用自己的CA(证书颁发机构)来创建和签名TLS证书。这种方法非常适合开发环境,可以把根证书分享给团队,方便浏览器信任自签名的证书。
2.2 购买一个TLS证书:从浏览器和操作系统信任的知名CA(证书颁发机构)购买TLS证书。
2.3 使用Letsencrpt证书:Letsencrpt是一家非盈利的可信证书颁发机构,他们提供免费的TLS证书。
每个TLS证书都有一个过期日期。所以必须在证书过期前,进行证书的更新。比如Letsencrpt的证书每3个月就过期。

3.ingress TLS/SSL是如何工作的?

把TLS加到ingress里是非常简单的:

3.1 用server.crt证书和server.key私钥文件创建一个kubernetes sercet
3.2 将TLS值添加到ingress里,其中确切的主机名用来生成和TLS证书匹配的cert
SSL是由ingress controller来处理的,而不是ingress。也就是说,当你把TLS证书作为kubernetes sercet添加到ingress里面时,ingress controller就能获取到它,并使其变为自己的配置信息。

比如,在Nginx控制器里,SSL证书是由nginx.conf动态地处理:

ssl_certificate_by_lua_block {
			certificate.call()
		}

下图介绍了ingress TLS的工作流程:
high-level ingress TLS workflow

4.配置ingress TLS/SSL证书

4.1 部署一个测试应用

首先,我们部署一个样例应用,用这个应用来测试ingress TLS。
创建一个dev的namespcae

kubectl create -n dev

把下面的yaml文件另存为hello-app.yaml,它包括了一个depolyment和service对象

apiVersion: apps/v1
kind: Deployment
metadata:
  name: hello-app
  namespace: dev
spec:
  selector:
    matchLabels:
      app: hello
  replicas: 2
  template:
    metadata:
      labels:
        app: hello
    spec:
      containers:
      - name: hello
        image: "gcr.io/google-samples/hello-app:2.0"

---

apiVersion: v1
kind: Service
metadata:
  name: hello-service
  namespace: dev
  labels:
    app: hello
spec:
  type: ClusterIP
  selector:
    app: hello
  ports:
  - port: 80
    targetPort: 8080
    protocol: TCP

部署这个测试应用

kubectl apply -f hello-app.yaml

4.2 创建kubernetes TLS sercet

注意:这里假设你已经有了来自证书颁发机构,或者你自己公司的或者自签名的server.crt和server.key文件

把SSL证书作为kubernetes sercet添加到kubernetes里面。这样,ingress的TLS就能引用SSL证书了。

在dev的namespace里,我们用server.crt和server.key文件创建一个TLS类型的kubernetes sercet。注意,hello app也在dev的namespace里。

在server.crt和server.key文件所在的路径下执行下面的kubectl命令,hello-app-tls可以是任意的名字。

kubectl create secret tls hello-app-tls \
    --namespace dev \
    --key server.key \
    --cert server.crt

下面是同样作用的yaml文件,不过需要将crt和key文件内容添加进去。

apiVersion: v1
kind: Secret
metadata:
  name: hello-app-tls
  namespace: dev
type: kubernetes.io/tls
data:
  server.crt: |
       <crt contents here>
  server.key: |
       <private key contents here>

4.3 把TLS添加到ingress

ingress需要和部署的测试应用在同一个namespace里面。所以,在dev的namespace里面创建样例ingress。

把下面的yaml文件另存为ingress.yaml,用hostname替换demo.hello.com。

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: hello-app-ingress
  namespace: dev
spec:
  ingressClassName: nginx
  tls:
  - hosts:
    - demo.mlopshub.com
    secretName: hello-app-tls
  rules:
  - host: "demo.mlopshub.com"
    http:
      paths:
        - pathType: Prefix
          path: "/"
          backend:
            service:
              name: hello-service
              port:
                number: 80

在上面的yaml文件里,添加了主机名为demo.hello.com和之前创建的tls secret的TLS block。我已经用demo.hello.com域名创建了自签名的TLS证书。

在TLS代码块里的host值应该要和rules代码块里的host值匹配。

4.4 验证ingress TLS

通过curl命令和浏览器来验证ingress TLS。

在CLI中,用你的domain来运行下面的curl命令

curl https://demo.hello.com -kv
weixin_45363959
关注
  • 30
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cert-manager:在Kubernetes中自动配置和管理TLS证书
02-02
证书经理 cert-manager是Kubernetes的附加组件,用于自动管理和颁发各种发行来源的TLS证书。 它将确保证书有效并定期更新,并尝试在到期前的适当时间更新证书。 它大致基于的工作,并从其他类似项目(例如借鉴了一些智慧。 文献资料 cert-manager的文档可以在找到。 请确保选择正确版本的文档以在页面右上方查看。 有关文档的问题和PR应在提交。 有关向Ingress资源自动颁发TLS证书(又名替代品)的常见用例,请参阅。 有关,请参阅中的安装。 故障排除 如果您在使用cert-manager时遇到任何问题,我们可以在许多地方尝试获得帮助。 首先,我们建议您查阅文档的。 提出问题最快的方法是先在Slack频道(#cert-manager)上发布。 这个频道中有很多社区成员,您通常可以立即获得问题的答案! 您也可以尝试。 正确搜索现有问题将有助于减少重复的次数,并帮助您更快地找到所需的答案。 在打开问题之前,还请确保通读的相关页面。 您也可以使用页面左上方的搜索框搜索文档。 如果您认为自己已遇到错误,并且找不到与自己的问题相似的现有问题,则可以。 请
K8S应用笔记 —— 签发自签名证书用于Ingress的https配置
热门推荐
gmHappy
08-18 3万+
在本地签发自命名证书,用于`K8S`集群的`Ingress`的https配置
kubernetes 服务发现 ingress
03-11
kubernetes 服务发现 ingress文件
021 Kubernetes ingressIngress Controller.mp4
05-07
021 Kubernetes ingressIngress Controller.mp4
kube-lego:已弃用:从Let's Encrypt自动为Kubernetes Ingress资源申请证书
02-04
库贝乐高 :warning_selector: kube-lego仅处于维护模式。 没有计划支持任何新功能。 kube-lego官方支持的最新Kubernetes版本是1.8 。 正式认可的继任者是。 如果您当前是kube-lego的用户,则可以找到迁移指南。 :warning_selector: kube-lego从Let's Encrypt自动为Kubernetes Ingress资源申请证书 截屏 产品特点 认识到在这种情况下需要新证书: 不存在证书 现有证书未包含所有域名 现有证书已过期或接近有效期(请参阅选项LEGO_MINIMUM_VALIDITY ) 现有证书不可解析,无效或与密钥不匹配 为Let's Encrypt创建一个用
外部服务发现之 ingress(二)
ccy19910925的博客
01-24 548
上节课给大家展示了traefik的安装使用以及简单的ingress配置方法,这节课我们来学习一下 ingress tls 以及 path 路径在 ingress 对象中的使用方法。 TLS 认证 在现在大部分场景下面我们都会使用 https 来访问我们的服务,这节课我们将使用一个自签名的证书,当然你有在一些正规机构购买的 CA 证书是最好的,这样任何人访问你的服务的时候都是受浏览器信任的证书...
k8s开发基础-配置ingress+tls
longway111的博客
03-24 1883
1.创建证书,web和web1分别对应一个独立的tls证书: (weops) [root@node201 tls]# openssl genrsa -out web-ingress.key 2048 Generating RSA private key, 2048 bit long modulus ......................................+++ ...............................................+++ e is 65537 (
kubernetesingress
syztoo
09-10 1万+
原文博客: https://www.cnblogs.com/linuxk/p/9706720.html https://www.cnblogs.com/caibao666/p/11235500.html 一、什么是IngressKubernetes 暴露服务的方式目前只有三种:LoadBlancer Service、NodePort Service、Ingress; 1、...
kubernetes-6(续) Ingress TLS配置 ingress认证 ingress地址重写
Ma_JunSSR的博客
08-02 896
1、ingress TLS 配置 我们之前的设置不够安全,我应该要安全的访问443端口。 创建证书和密钥 创建secret vim ingress-https.yaml 编辑文件 [root@server2 ingress]# cat ingress-https.yaml apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: name: ingress-myapp spec: tls: - hosts: - ww
Kubenetes(3)--网络通信(3)--ingress部署、域名解析、TLS、以及认证和地址重写
Jelly
04-09 3156
一、ingress简介 官网参考:https://kubernetes.github.io/ingress-nginx/ Ingress是一种全局的、为了代理不同后端 Service 而设置的负载均衡服务,就是 Kubernetes Ingress 服务。 Ingress的组成:Ingress controller、IngressIngress Controller 会根据你定义的 Ingress 对象,提供对应的代理能力。业界常用的各 种反向...
quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.20.0镜像包
03-06
kubernetes的quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.20.0镜像包,版本为v0.20.0。文件先解压,之后得到nginx-ingress-controller.0.20.0.tar
Kubernetes(k8s)的ingress部署https应用
XiaoHH的博客
08-29 1620
Kubernetes当中使用Ingress暴露https应用,内容超详细
企业实战--kubernetes(七)---ingress service(部署,访问,tls加密,认证,URL重定向)
chitung_hsu的博客
06-30 752
一、Ingress介绍 一种全局的、为了代理不同后端 Service 而设置的负载均衡服务,就是 Kubernetes Ingress 服务。 Ingress由两部分组成:Ingress controller和Ingress服务。 Ingress Controller 会根据你定义的 Ingress 对象,提供对应的代理能力。业界常用的各种反向代理项目,比如 Nginx、HAProxy、Envoy、Traefik 等,都已经为Kubernetes 专门维护了对应的 Ingress Controller。
kubernetes集群实战——ingress服务部署、会话保持和TLS配置
weixin_45792518的博客
06-26 2091
1.Ingress 是什么? Ingress 公开了从集群外部到集群内 services 的 HTTP 和 HTTPS 路由。 流量路由由 Ingress 资源上定义的规则控制。 一种全局的、为了代理不同后端 Service 而设置的负载均衡服务,就是 Kubernetes Ingress 服务。 • Ingress由两部分组成:Ingress controller和Ingress服务。 • Ingress Controller 会根据你定义的 Ingress 对象,提供对应的代理能力。业界常用的各种
k8s Ingress(traefik) 配置https 证书
风.foxwho(神秘狐)
05-23 1742
条件 假设有证书 fox.foxwho.com.pem, fox.foxwho.com.key,给 fox.foxwho.com 域名 配置 https k8s 创建 secret 上传 fox.foxwho.com.pem, fox.foxwho.com.key 证书文件到 某个临时目录,命令行进入这个目录, 执行命令 kubectl create secret tls fox-secret \ --cert=fox.foxwho.com.crt \ --key=fox.foxwho.com.key
kubernetes--Ingress配置证书
m0_57911290的博客
01-16 8690
HTTPS是安全的HTTP,HTTP协议的内容都是明文传输,HTTPS的目的是将这些内容加密,确保信息传输安全,最后一个字母S值得是SSL/TLS协议,它位于HTTP协议与TCP/IP协议的中间。Ingress Controller:根据Ingress生成具体的路由规则,并对Pod负载均衡器。Ingress:K8s中的一个抽象资源,给管理员提供一个暴露应用的入口定义方法。1.加密隐私数据,防止您访客的隐私信息(账号,地址,手机号等)被劫持或窃取。4.地址栏安全锁:地址栏头部的“锁”型图标,提高用户信任度。
运维实操——kubernetes(七)Ingress服务加密、认证、地址重写
qq_40764171的博客
07-29 1237
Ingress服务1、什么是ingress?2、ingress安装3、一个ingress控制多个service 1、什么是ingress? 以前一个service一个虚拟ip,但是随着服务数量的增加,ip是不够用的,所以就产生了ingress服务,它可以代理不同后端 Service ,这样很多的service在一个ingress下,只需要一个ip即可。ingres在客户和服务之间增加一层,进而实现负载均衡服务。如图所示 Ingress由两部分组成:Ingress controller和Ingress服务。
k8s ingress-nginx 配置tls证书 https
最新发布
qq_33256826的博客
01-26 521
之前一直在内网环境做项目,由于和外网隔离一直用的是 http 协议, 新项目要求用 https 协议,项目服务都部署在 k8s 中,使用 ingress-nginx 作为网关。从网上查找相关资料都是需要在 ingress配置 tls ,但是由于我创建的 ingress 比较多,且没有指定域名,一个一个去修改非常麻烦,而且开发人员在内网习惯使用 ip 来访问系统,一旦配置了域名,还需要开发人员去修改本地的 hosts 文件,所以我到 ingress-nginx 官网找到了解决办法。
kubernetesTLS 启动引导(二进制方式、kubeadm)
rendongxingzhe的博客
06-02 693
kubernetesTLS
Ingress 怎么配置集群ingress-controller
06-05
配置集群Ingress Controller的具体步骤如下: 1. 安装Ingress Controller 首先需要安装Ingress Controller,可以使用Kubernetes官方提供的Nginx Ingress Controller,也可以使用其他第三方的Ingress Controller,如Traefik、HAProxy等。 2. 配置Ingress资源 配置Ingress资源,定义Ingress规则,指定Ingress Controller的服务端口和负载均衡策略等。 3. 配置DNS 配置DNS,将域名解析到Ingress Controller的负载均衡器IP上。 4. 配置TLS证书 如果需要使用HTTPS协议进行通信,需要配置TLS证书。 5. 配置Backend服务 配置Backend服务,确保Ingress Controller能够正确地将请求转发到后端服务。 以上是配置集群Ingress Controller的一般步骤,具体实现可能因环境而异。需要根据实际情况进行相应的调整和配置

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值