【Kubernets】Kubernets进阶-Ingress配置SSL证书

已于 2024-11-07 07:36:51 修改
阅读量1.8k 收藏 11
点赞数 25
分类专栏: 云原生相关技术 文章标签: ssl 网络协议 网络 kubernets https
于 2024-11-06 16:20:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wendao76/article/details/143573289
版权

Ingress配置SSL证书


在 Kubernetes 中,Ingress 资源可以用来管理外部访问到集群内服务的 HTTP 流量,并且可以通过配置 SSL 证书来启用 HTTPS。以下是配置 Ingress 以使用 SSL 证书的基本步骤:

1. 准备 SSL 证书和私钥

首先,你需要有一个有效的 SSL 证书和对应的私钥。这可以是一个由权威证书颁发机构(CA)签发的证书,也可以是一个自签名的证书。证书和私钥通常以 PEM 格式存储。

2. 创建 Kubernetes Secret

将证书和私钥存储在 Kubernetes Secret 中,以便 Ingress 资源可以引用它们。以下是一个示例命令,用于创建一个包含证书和私钥的 Secret:

kubectl create secret tls my-tls-secret --cert=path/to/tls.crt --key=path/to/tls.key

这里,my-tls-secret 是你创建的 Secret 的名称,tls.crt 是证书文件的路径,tls.key 是私钥文件的路径。

3. 配置 Ingress 资源

接下来,你需要在 Ingress 资源中配置 SSL 证书。这可以通过在 Ingress 的 YAML 配置文件中设置 tls 字段来完成。以下是一个示例 Ingress 配置,它使用了上一步创建的 Secret:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: my-ingress
  annotations:
    nginx.ingress.kubernetes.io/force-ssl-redirect: "true"
spec:
  tls:
  - hosts:
    - mydomain.com
    secretName: my-tls-secret
  rules:
  - host: mydomain.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: my-service
            port:
              number: 80

在这个配置中,tls 字段定义了一个证书配置,其中 hosts 指定了需要启用 HTTPS 的主机名,secretName 引用了之前创建的包含证书和私钥的 Secret。

4. 应用 Ingress 配置

使用 kubectl apply 命令应用 Ingress 配置:

kubectl apply -f my-ingress.yaml

这里,my-ingress.yaml 是你的 Ingress 配置文件。

5. 验证配置

一旦 Ingress 资源被应用,你可以通过访问 https://mydomain.com 来验证 SSL 证书是否已正确配置。如果一切设置正确,你应该能够看到由证书保护的 HTTPS 页面。

注意事项

  • 确保你的域名(在这个例子中是 mydomain.com)指向了 Ingress 控制器的公共 IP 地址。
  • 如果你在本地开发环境中使用自签名证书,你的浏览器可能会警告证书不可信。这是因为自签名证书不是由受信任的 CA 签发的。
  • 如果你使用的是云服务提供商的 Ingress 控制器,如 AWS 的 ALB 或 GCP 的 Ingress,你可能需要遵循特定的步骤来配置 SSL 证书。

通过上述步骤,你可以在 Kubernetes 集群中配置 Ingress 以使用 SSL 证书,从而启用 HTTPS 加密通信。

自签名证书在Ingress中如何应用?

在 Kubernetes 集群中,使用自签名证书配置 Ingress 以启用 HTTPS 的基本步骤如下 :

  1. 创建自签名证书
    使用 OpenSSL 创建自签名证书和私钥:

    openssl genrsa -out albtop-key.pem 4096
openssl req -subj "/CN=demo.alb.ingress.top" -sha256  -new -key albtop-key.pem -out albtop.csr
echo subjectAltName = DNS:demo.alb.ingress.top > extfile.cnf
openssl x509 -req -days 3650 -sha256 -in albtop.csr -signkey albtop-key.pem -out albtop-cert.pem -extfile extfile.cnf

  2. 创建 Kubernetes Secret
    将自签名证书和私钥转换为 base64 编码,并创建 Secret:

    kubectl create secret tls my-tls-secret --cert=albtop-cert.pem --key=albtop-key.pem

  3. 配置 Ingress 资源
    在 Ingress 配置文件中添加 tls 字段,并引用上一步创建的 Secret:

    apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: my-ingress
  annotations:
    nginx.ingress.kubernetes.io/force-ssl-redirect: "true"
spec:
  tls:
  - hosts:
    - mydomain.com
    secretName: my-tls-secret
  rules:
  - host: mydomain.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: my-service
            port:
              number: 80

  4. 应用 Ingress 配置
    使用 kubectl apply 命令应用 Ingress 配置:

    kubectl apply -f my-ingress.yaml

  5. 验证配置
    通过访问 https://mydomain.com 来验证 SSL 证书是否已正确配置。

这个过程确保了 HTTPS 请求在 Kubernetes 集群中的安全性和有效性,通过自签名的证书来启用 HTTPS,非常适合开发环境。

相关文献

【Kubernets】配置类型资源 Etcd, Secret, ConfigMap
【Kubernets】kubernets资源类型ingress详细介绍
【知识科普】使用 OpenSSL为特定域名生成自签名证书

Kubernetes 基础:Ingress的高可用部署
在技术的广袤天地里,本博客如精准罗盘。剖析前沿科技,深掘代码奥秘,以精炼笔触,带您穿越复杂技术迷宫,速达知识彼岸。
09-10 1073
我们很少**直接使用**这些方式来对外暴露服务,因为它们都有一个比较严重的问题,那就是需要占用节点端口。 `Ingress` 就是为了解决这些问题而设计的,它允许你将 Service 映射到集群对外提供的某个端点上(由域名和端口组成的地址), 这样我们就可以在 Ingress 中将多个 Service 配置到同一个域名的不同路径下对外提供服务,避免了对节点端口的过多占用。 `Ingress` 还支持路由规则和域名配置等高级功能,就像 Nginx 那样能够承担业务系统最边缘的反向代理+网关的角色。
K8S应用笔记 —— 签发自签名证书用于Ingresshttps配置
热门推荐
gmHappy
08-18 3万+
在本地签发自命名证书,用于`K8S`集群的`Ingress`的https配置
Kubernets】手把手教你Ingress配置TLS证书
最新发布
wendao76的专栏
03-03 1062
在 Kubernetes 中,通过 Ingress 配置 TLS(Transport Layer Security)可以为您的服务启用 HTTPS 协议。通过以上步骤,您可以成功为 Kubernetes Ingress 配置 TLS,确保服务的安全性和可靠性。TLS 需要使用 SSL/TLS 证书来加密通信。接下来,在 Ingress 资源中引用该 Secret,并启用 TLS。如果一切正常,您应该能够通过 HTTPS 访问服务。对象存储 TLS 证书和私钥。字段显示了正确的 IP 或域名。
ingress 证书配置
qq_47767419的博客
11-14 859
(2)先使用cert-manager创建一个自签名ClusterIssuer(集群证书发行人,Issuer普通的证书发行人也行)然后使用自签名ClusterIssuer生成ca密钥和证书的secret。它确保PKI的操作符合规定的安全标准和策略,包括证书颁发、身份验证和密钥管理等方面。证书存储库是用于存储和维护已颁发的证书的地方。它验证证书请求者的身份,并发行数字证书,使用自己的私钥对证书进行签名,以提供信任。记录密钥生成、证书颁发、证书吊销等操作的日志和历史记录,用于审计和追踪操作的合法性和有效性。
kubernetes--Ingress配置证书
m0_57911290的博客
01-16 8907
HTTPS是安全的HTTP,HTTP协议的内容都是明文传输,HTTPS的目的是将这些内容加密,确保信息传输安全,最后一个字母S值得是SSL/TLS协议,它位于HTTP协议与TCP/IP协议的中间。Ingress Controller:根据Ingress生成具体的路由规则,并对Pod负载均衡器。Ingress:K8s中的一个抽象资源,给管理员提供一个暴露应用的入口定义方法。1.加密隐私数据,防止您访客的隐私信息(账号,地址,手机号等)被劫持或窃取。4.地址栏安全锁:地址栏头部的“锁”型图标,提高用户信任度。
第一章 CIS 安全基准-Ingress配置证书
三成的博客
11-04 495
ingress 安全
kubernetes ingress配置阿里ssl证书
qq_33842795的博客
04-12 2289
这里写目录标题申请证书下载证书创建Secret创建yaml配置文件 申请证书 登录阿里云,找到【SSL证书】,点击申请证书 如果没有创建证书资源包,需要建立证书资源包才能申请免费证书。 页面是这样的,待申请会显示20个,因为我已经建立一个了。 在点击【证书申请】 点击【确认】即可。 然后需要绑定域名。例如绑定【xxx.com】。 通常需要审核时间,大概几分钟就通过了,然后就可以下载了。 下载证书 选择Nginx证书下载。 会得到一个压缩包,包含两个文件。【xxx_xxx.key】和【xxx_xxx
ingress添加ssl证书
huangruifeng的博客
03-03 3660
1、下载证书 到阿里云申请免费ssl证书,审核通过后下载other版本的证书 2、创建tls secret 输入下面命令创建 kubectl create secret tls hrf304.com-ingress-secret --cert=hrf304.com.pem --key=hrf304.com.key 3、获取tls的yaml文件 输入以下命令获取文件 kubectl get secr...
Kubernetes进阶-2Kubernetes落地实践之旅
m0_63086381的博客
07-17 933
kind: Podmetadata:labels:spec:env:- name: MYSQL_HOST # 指定root用户的用户名ports:ports:env:},"spec": {"env": [},],"ports": [},...apiVersion含义alpha进入K8s功能的早期候选版本,可能包含Bug,最终不一定进入K8sbeta已经过测试的版本,最终会进入K8s,但功能、对象定义可能会发生变更。stable可安全使用的稳定版本v1。
Kubernetes Dashboard
FLGB
06-18 1565
使用上述命令生成的自签名证书 k8s.test.crt 和私钥 k8s.test.key 是自签名的证书,其安全性在开发或测试环境中通常是可以接受的,但不会被主流浏览器(如Chrome、Firefox、Edge等)视为安全,因为它们未经公共颁发机构(CA)的认证和签名。在开发或测试环境中,可以使用这样的自签名证书来进行测试和开发工作。它生成的是一个 X509 格式的证书,有效期 365 天,私钥是 RSA2048 位,摘要算法是 SHA256,签发的网站是“k8s.test”。
kubernetes-in-action-master.zip
06-10
8. **Kubernetes进阶**:可能包括StatefulSets、Init Containers、Sidecars等高级特性,以及多租户管理和集群 Federation。 通过这个压缩包,读者可以逐步实践书中所讲的每一个示例,加深对Kubernetes的理解,并...
Kubernetes 入门&进阶实战
j简说Linux的博客
11-17 590
再打个形象的比喻,在同一个 Pod 里的几个 Docker 服务/程序,好像被部署在同一台机器上,可以通过 localhost 互相访问,并且可以共用 Pod 里的存储资源(这里是指 Docker 可以挂载 Pod 内的数据卷,数据卷的概念,后文会详细讲述,暂时理解为“需要手动 mount 的磁盘”)。到这里,相信你已经对 K8S 究竟是做什么的,有了大概认识。笔者一边写文章,一边查阅和整理 K8S 资料,过程中越发感觉 K8S 架构的完备、设计的精妙,是值得深入研究的,K8S 大受欢迎是有道理的。
Ingress-配置和使用
qq_22648091的博客
02-02 4499
Ingress 是管理集群外部访问集群内部服务的流量的 API 对象,是 kubernetes 中对 service 的反向代理。流量的去向由 Ingress 资源所定义的规则来控制。可提供负载均衡、SSL 和基于名称的虚拟主机功能。主要的访问方式是 HTTP/HTTPS,不支持四层协议。下一代替代 Ingress 的产品 Gateway API 可以实现 四层和七层协议流量管理。Ingress 在 kubernentes v1.28 版本停止更新,并推出了可以实现更多功能的。fill:#333。
K8S==ingress配置自签名证书
hebian1994的博客
06-05 623
【代码】K8S==ingress配置自签名证书
如何在Kubernetes里配置Ingress TLS证书
weixin_45363959的博客
12-12 2844
注意: SSL和TLS是一样的,SSL是旧的版本,TLS是新版本的SSL
K8S ingress 阿里云 ssl证书安装或者更新
张震--golang
09-12 1777
将替换为你想要的Secret名称,替换为你下载的证书文件的路径,替换为私钥文件的路径。将替换为你在第三步中创建的Secret名称,your.domain.com替换为你的域名,your-service替换为你的后端服务的名称。配置Ingress对象:在你的Ingress对象中,你需要指定你刚才创建的Secret名称,以及你要保护的路径和后端服务。
Nginx 配置https证书
Florenza的博客
12-08 2619
worker_processes 1; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; sendfile on; keepalive_timeout 65; server { listen 443 ssl; #配置.
在k8s上配置ingress并启用HTTPS证书
梦想起飞的地方.........
04-25 3920
第一步,定义Secret文件 该文件设置tls的证书私钥和公钥内容,通过base64编码的内容 tls.crt: 证书公钥 tls.key: 证书私钥 示例 apiVersion: v1 kind: Secret metadata: name: secret-tls data: tls.crt: xxxxx cat xxx.crt | base64 -w 0 tls.key: xxxxx cat xxx.pem | base64 -w 0 type: kubernetes.io/tls
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

问道飞鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值