记录k8s下配置ssl安全连接版rabbitmq

最新推荐文章于 2024-07-09 15:35:57 发布
最新推荐文章于 2024-07-09 15:35:57 发布
阅读量381 收藏 1
点赞数 1
文章标签: java docker 数据库 rabbitmq kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48445640/article/details/114878781
版权

因为有数据接入,公司要求启动ssl安全连接的方式把rabbitmq部署进k8s集群中。
首先,用CMF-AMQP-Configuration.git生成了证书及秘钥文件
接下来编写yaml文件,值得注意的是一定要事先把rabbitmq.conf和相关的秘钥放在/gv0/userapp/rabbitmq/etc/rabbitmq目录下,可供rabbitmq镜像找到。

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nevt-rabbitmq
  labels:
    app: nevt-rabbitmq
spec:
  replicas: 1
  selector:
    matchLabels:
      app: nevt-rabbitmq
  template:
    metadata:
      labels:
        app: nevt-rabbitmq
    spec:
      containers:
      - name: nevt-rabbitmq
        image: rabbitmq:management
        imagePullPolicy: IfNotPresent
        ports:
        - name: ssl
          containerPort: 5671
        - name: http
          containerPort: 15672
        env:
        volumeMounts:
        - name: rabbitmq-logs
          mountPath: /var/log/rabbitmq
        - name: rabbitmq-conf-ssl
          mountPath: /etc/rabbitmq
      restartPolicy: Always
      volumes:
      - name: rabbitmq-logs
        glusterfs:
          endpoints: glusterfs-cluster
          path: /gv0/userapp/rabbitmq/log
          readOnly: false
      - name: rabbitmq-conf-ssl
        glusterfs:
          endpoints: glusterfs-cluster
          path: /gv0/userapp/rabbitmq/etc/rabbitmq
          readOnly: false
---
apiVersion: v1
kind: Service
metadata:
  name: nevt-rabbitmq
spec:
  selector:
    app: nevt-rabbitmq
  ports:
    - name: ssl
      port: 5671
      targetPort: 5671
      nodePort: 30205
    - name: http
      port: 15672
      targetPort: 15672
      nodePort: 30206
  type: NodePort

rabbitmq.conf如下,放置在glusterfs的/gv0/userapp/rabbitmq/etc/rabbitmq目录下:

# 默认是限制了guest用户只能在本机登陆,也就是只能登陆localhost:15672。可以通过修改配置文件rabbitmq.conf,取消这个限制: loopback_users这个项就是控制访问的,如果只是取消guest用户的话,只需要loopback_users.guest = false 即可
loopback_users.guest = false
listeners.tcp.default = 5672
management.tcp.port = 15672
# ssl端口
listeners.ssl.default=5671
# 证书一定事先放在了对应的挂载目录下
ssl_options.cacertfile=/etc/rabbitmq/ssl/ca/cacert.pem
ssl_options.certfile=/etc/rabbitmq/ssl/server/nevt-server.cert.pem
ssl_options.keyfile=/etc/rabbitmq/ssl/server/nevt-server.key.pem
ssl_options.verify=verify_peer
ssl_options.fail_if_no_peer_cert=true
ssl_options.versions.1=tlsv1.2
ssl_options.versions.2=tlsv1.1

ssl_options.ciphers.1 = ECDHE-ECDSA-AES256-GCM-SHA384
ssl_options.ciphers.2 = ECDHE-RSA-AES256-GCM-SHA384
ssl_options.ciphers.3 = ECDHE-ECDSA-AES256-SHA384
ssl_options.ciphers.4 = ECDHE-RSA-AES256-SHA384
ssl_options.ciphers.5 = ECDHE-ECDSA-DES-CBC3-SHA
ssl_options.ciphers.6 = ECDH-ECDSA-AES256-GCM-SHA384
ssl_options.ciphers.7 = ECDH-RSA-AES256-GCM-SHA384
ssl_options.ciphers.8 = ECDH-ECDSA-AES256-SHA384
ssl_options.ciphers.9 = ECDH-RSA-AES256-SHA384
ssl_options.ciphers.10 = DHE-DSS-AES256-GCM-SHA384
ssl_options.ciphers.11 = DHE-DSS-AES256-SHA256
ssl_options.ciphers.12 = AES256-GCM-SHA384
ssl_options.ciphers.13 = AES256-SHA256
ssl_options.ciphers.14 = ECDHE-ECDSA-AES128-GCM-SHA256
ssl_options.ciphers.15 = ECDHE-RSA-AES128-GCM-SHA256
ssl_options.ciphers.16 = ECDHE-ECDSA-AES128-SHA256
ssl_options.ciphers.17 = ECDHE-RSA-AES128-SHA256
ssl_options.ciphers.18 = ECDH-ECDSA-AES128-GCM-SHA256
ssl_options.ciphers.19 = ECDH-RSA-AES128-GCM-SHA256
ssl_options.ciphers.20 = ECDH-ECDSA-AES128-SHA256
ssl_options.ciphers.21 = ECDH-RSA-AES128-SHA256
ssl_options.ciphers.22 = DHE-DSS-AES128-GCM-SHA256
ssl_options.ciphers.23 = DHE-DSS-AES128-SHA256
ssl_options.ciphers.24 = AES128-GCM-SHA256
ssl_options.ciphers.25 = AES128-SHA256
ssl_options.ciphers.26 = ECDHE-ECDSA-AES256-SHA
ssl_options.ciphers.27 = ECDHE-RSA-AES256-SHA
ssl_options.ciphers.28 = DHE-DSS-AES256-SHA
ssl_options.ciphers.29 = ECDH-ECDSA-AES256-SHA
ssl_options.ciphers.30 = ECDH-RSA-AES256-SHA
ssl_options.ciphers.31 = AES256-SHA
ssl_options.ciphers.32 = ECDHE-ECDSA-AES128-SHA
ssl_options.ciphers.33 = ECDHE-RSA-AES128-SHA
ssl_options.ciphers.34 = DHE-DSS-AES128-SHA
ssl_options.ciphers.35 = DHE-DSS-AES128-SHA256
ssl_options.ciphers.36 = ECDH-ECDSA-AES128-SHA
ssl_options.ciphers.37 = ECDH-RSA-AES128-SHA
ssl_options.ciphers.38 = AES128-SHA

部署完以后,会有一个坑,http界面无法显示,这时候用kubectl exec进入该容器,执行 rabbitmq-plugins enable rabbitmq_management即可开启。
还有一点值得注意:将本地的glusterfs数据卷下的etc/目录及目录下的所有文件夹和文件全部变成777权限,以及log目录也变成777权限,以免不必要的执行权限问题。

graceful coding
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
k8s搭建rabbitmq集群
11-30
kubernetes搭建rabbitmq集群,只需创建好相应的pv即可,无需修改,依次执行
k8s下部署rabbitmq集群部署方式
07-26
包含k8s下部署rabbitmq集群部署方式的说明,有pv.yaml, svc.yaml, statefulset.yaml
rabbitmq集群开启ssl
weixin_42562106的博客
04-20 1728
helm install ops --set persistence.storageClass=openebs-hostpath \ --set clustering.forceBoot=true \ --set replicaCount=3 \ --set persistence.size=1Gi \ --set auth.tls.enabled=true \ --set auth.tls.autoGenerated=true \ --set auth.tls.failIfNoPeerCer.
k8srabbitmqk8srabbitmq并搭建镜像集群-hostpath
最新发布
weixin_56364253的博客
07-09 1049
k8s集群中搭建rabbitmq集群服务一般都会用到pvc,但是考虑到有些自建k8s环境下,搭建的共享存储可能会存在稳定性及性能问题,所以这次是通过采用节点亲和性和hostpath来实现,目前的operator的基本都是采用共享存储的方法。本文将根据现有环境及不同需求将rabbitmq镜像集群的搭建采用hostpath+亲和性的权重+多副本来实现数据持久化和高可用。
RabbitMQ 服务器启用 SSL/TLS
serene的博客
02-18 1143
RabbitMQ 服务器启用 SSL/TLS。为了启用 TLS/SSL,我们需要证书/密钥对。 这可以借助 OpenSSL 为客户端和服务器生成自签名证书。
RabbitMQ SSl全认证流程
jiapeng976548的博客
08-13 1059
SSL全认证 文件创建 使用rmqca作为RabbitMQ的认证中心,certs文件用于存放CA产生的证书,private存放CA的密钥,改变其权限不允许第三方访问,serial存放CA证书的序列号,index.txt存放CA颁发的证书 # mkdir rmqca # cd rmqca # mkdir certs private # chmod 700 private # echo 01 > serial # touch index.txt 创建openSSL各种命令的配置文件:openss
Kubernetes 部署 RabbitMQ 3.7.X 集群遇到的问题
回归心灵的专栏
11-26 1110
问题描述 在 Kubernetes 上部署 RabbitMQ 集群时,我们可以参考 https://github.com/rabbitmq/diy-kubernetes-examples/tree/master/minikube 下面的编排文件部署,使用上述编排文件可以部署一个正确的 RabbitMQ 集群RabbitMQ本号是 3.8。 由于我们公司用的是在 3.7.24 本上修改过的 RabbitMQ,因此修改 RabbitMQ 本号部署,但是却遇到了问题(3.8 本没有问题)。在 sta
linux关闭mq的认证,CentOS 7 - RabbitMQ 开启ssl全认证
weixin_31170085的博客
05-15 507
CentOS 7 - RabbitMQ 开启ssl全认证生成证书TLS / SSL证书生成器:git clone https://github.com/michaelklishin/tls-gen tls-gencd /optgit clone https://github.com/michaelklishin/tls-gen tls-gencd tls-gen/basic# 设置私钥密码mak...
k8s部署rabbitmq-cluster集群配置文件和docker镜像文件
08-21
k8s部署rabbitmq-cluster集群配置文件和docker镜像文件,配合文章学习用,有需要可以下载,无需修改直接部署即可
rabbitmq-peer-discovery-k8sRabbitMQ的基于Kubernetes的对等发现机制
02-04
1. **配置插件**:在RabbitMQ Pod的启动配置中,添加`rabbitmq-peer-discovery-k8s`插件,并设置相关的Kubernetes配置,如命名空间、服务名称等。 2. **发现服务**:RabbitMQ Pod启动后,插件会周期性地查询...
rabbitmq连接池
03-16
自定义连接池大小及最大处理channel数 消费者底层断线自动重连 底层使用轮循方式复用tcp 生产者每个tcp对应一个channel,防止channel写入阻塞造成内存使用过量 支持rabbitmq exchangeType 默认交换机、队列、消息都会...
k8s中搭建rabbitmq集群
Python开发分享的博客
12-11 1238
本文介绍自建rabbitmq docker镜像,并在k8s集群中搭建rabbitmq集群 一..rabbitmq二进制装包在虚机上的部署 二.制作docker镜像 三.使用自建rabbitmq镜像在k8s中部署集群 一.rabbitmq二进制装包在虚机上部署: 1.1下载并装相关包 esl-erlang_21.0-1_centos_7_amd64.rpm --yum 装...
单机K8srabbitmq最新方法
一个到老才知道分享的人的博客
12-23 1557
目录一、拉取rabbitmq的镜像二、创建一个configmap三、创建Deployment的yaml文件四、创建service的yaml文件五、启动服务 一、拉取rabbitmq的镜像 [root@k8s-fengfan default]# docker pull rabbitmq Using default tag: latest Trying to pull repository docker.io/library/rabbitmq ... sha256:a19f0e3e9b0986948c2072a
RabbitMQ配置SSL
日积月累,天道酬勤
07-09 7396
主要介绍了如何通过DockerRabbitMQ配置SSL配置成功之后给出了SpringBoot和Python集成的例子。
【漏洞修复】docker 环境下,AMQP Cleartext认证漏洞,rabbitmq明文漏洞修复,超详细
yyysilence的博客
07-04 2964
sh create_client_cert.sh rabbitmq-client 654321 #654321为自定义密码。# -alias后为别称,-file后是服务端公钥位置,-keystore后是输出JSK证书位置 STORE_PASS任意。sh make_server_cert.sh rabbitmq-server 123456 #123456为自定义密码。部署完成后,docker exec进入容器,在容器中添加插件才能启用SSL验证的功能。3. server.key.pem # 服务器私钥。
禁用AMQP配置中的明文身份验证机制(包含Springboot结果测试+踩坑)
u013551615的博客
08-13 4559
禁用AMQP配置中的明文身份验证机制
配置rabbitmq https SSL,springboot连接rabbitmq https
我怀念的
10-29 3675
springboot连接rabbitmq https
【亲测可用】禁用AMQP配置中的明文身份验证机制-漏洞解决方法(RabbitMQ开启SSL附SpringBoot连接测试代码)
拾级而上
01-07 9462
全扫描出RabbitMQ 远程主机允许明文身份验证漏洞,本文教你解决它!
k8s内部署rabbitmq高可用集群
weixin_45950088的博客
06-23 875
一、创建NFS动态卷持久化存储 1、创建NFS服务端 [root@work03 ~]# yum install nfs-utils rpcbind -y [root@work03 ~]# systemctl start nfs [root@work03 ~]# systemctl start rpcbind [root@work03 ~]# systemctl enable nfs [root@work03 ~]# systemctl enable rpcbind [root@work03 ~]# mkdi
springboot配置ssl访问rabbitmq
05-20
要在Spring Boot中配置SSL访问RabbitMQ,需要遵循以下步骤: 1. 生成证书 首先,需要生成一个证书,用于启用SSL连接。可以使用以下命令生成一个自签名的证书: ``` keytool -genkeypair -alias rabbitmq -keyalg RSA -keysize 2048 -storetype PKCS12 -keystore rabbitmq.p12 -validity 3650 ``` 该命令将生成一个名为`rabbitmq.p12`的证书文件。在生成证书时,需要注意以下几点: - `alias`参数用于指定证书别名,可以根据需要进行更改。 - `storetype`参数用于指定证书存储类型,这里使用`PKCS12`格式。 - `validity`参数用于指定证书有效期,这里为10年。 2. 配置RabbitMQ 接下来,需要在RabbitMQ上启用SSL连接。在RabbitMQ服务器上,需要将证书文件`rabbitmq.p12`复制到`/etc/rabbitmq/ssl`目录中,并将其权限设置为`644`。然后,需要创建一个RabbitMQ配置文件,指定SSL参数和证书路径: ``` ssl_options.verify = verify_peer ssl_options.fail_if_no_peer_cert = false ssl_options.cacertfile = /etc/rabbitmq/ssl/ca_certificate.pem ssl_options.certfile = /etc/rabbitmq/ssl/server_certificate.pem ssl_options.keyfile = /etc/rabbitmq/ssl/server_key.pem ssl_options.password = password ssl_options.versions = ['tlsv1.2'] ``` 其中,`cacertfile`参数指定CA证书路径,`certfile`参数指定服务器证书路径,`keyfile`参数指定服务器私钥路径,`password`参数指定证书密码。`versions`参数指定支持的TLS本。 3. 在Spring Boot中启用SSL连接 最后,需要在Spring Boot应用程序中启用SSL连接。可以在`application.properties`文件中添加以下配置: ``` spring.rabbitmq.ssl.enabled=true spring.rabbitmq.ssl.key-store-type=PKCS12 spring.rabbitmq.ssl.key-store=classpath:rabbitmq.p12 spring.rabbitmq.ssl.key-store-password=password spring.rabbitmq.ssl.trust-store-type=PEM spring.rabbitmq.ssl.trust-store=classpath:ca_certificate.pem ``` 其中,`key-store-type`参数指定证书类型,`key-store`参数指定证书路径,`key-store-password`参数指定证书密码。`trust-store-type`参数指定CA证书类型,`trust-store`参数指定CA证书路径。 现在,应用程序应该能够使用SSL连接到RabbitMQ了。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

graceful coding

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值