traefik TLS认证配置

最新推荐文章于 2024-05-13 09:30:57 发布
最新推荐文章于 2024-05-13 09:30:57 发布
阅读量3k 收藏 2
点赞数 1
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangshaohuas/article/details/108446684
版权
在现在大部分场景下面我们都会使用 https 来访问我们的服务,这节课我们将使用一个自签名的证书,当然你有在一些正规机构购买的 CA 证书是最好的,这样任何人访问你的服务的时候都是受浏览器信任的证书。一:使用下面的 openssl 命令生成 CA 证书:openssl req -newkey rsa:2048 -nodes -keyout tls.key -x509 -days 365 -out tls.crt[root@k8s-master traefik]# ll总用量 16-rw-r--
摘要由CSDN通过智能技术生成

在现在大部分场景下面我们都会使用 https 来访问我们的服务,这节课我们将使用一个自签名的证书,当然你有在一些正规机构购买的 CA 证书是最好的,这样任何人访问你的服务的时候都是受浏览器信任的证书。

一:使用下面的 openssl 命令生成 CA 证书:

openssl req -newkey rsa:2048 -nodes -keyout tls.key -x509 -days 365 -out tls.crt

[root@k8s-master traefik]# ll
总用量 16

-rw-r--r--. 1 root root 1220 9月   5 12:48 tls.crt
-rw-r--r--. 1 root root 1704 9月   5 12:48 tls.key

二:现在我们有了证书,我们可以使用 kubectl 创建一个 secret 对象来存储上面的证书:

[root@k8s-master traefik]# kubectl create secret generic traefik-cert --from-file=tls.crt --from-file=tls.key -n kube-system
secret/traefik-cert created


[root@k8s-master traefik]# kubectl get secret -n kube-system|grep traefik
traefik-cert                                     Opaque                                2      49s

三:配置 Traefik
前面我们使用的是 Traefik 的默认配置,现在我们来配置 Traefik,让其支持 https:

[root@k8s-master traefik]# cat traefik.toml 
defaultEntryPoints = ["http", "https"]

[entryPoints]
  [entryPoints.http]
  address = ":80"
    [entryPoints.http.redirect]
      entryPoint = "https"
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
      [[entryPoints.https.tls.certificates]]
      CertFile = "/ssl/tls.crt"
      KeyFile = "/ssl/tls.key"

上面的配置文件中我们配置了 http 和 https 两个入口,并且配置了将 http 服务强制跳转到 https 服务,这样我们所有通过 traefik 进来的服务都是 https 的。

要访问 https 服务,当然就得配置对应的证书了,可以看到我们指定了 CertFile 和 KeyFile 两个文件,由于 traefik pod 中并没有这两个证书,所以我们要想办法将上面生成的证书挂载到 Pod 中去。

我们可以通过 secret 对象以 volume 形式挂载到 Pod 中。

我们可以将上面的 traefik.toml 配置文件通过一个 ConfigMap 对象挂载到 traefik pod 中去:

[root@k8s-master traefik]# kubectl create configmap traefik-conf --from-file=traefik.toml -n kube-system
configmap/traefik-conf created

现在就可以更改下之前的 traefik pod 的 yaml 文件了:

---
kind: Deployment
apiVersion: apps/v1
metadata:
  name: traefik-ingress-controller
  namespace: kube-system
  labels:
    k8s-app: traefik-ingress-lb
spec:
  replicas: 1
  selector:
    matchLabels:
      k8s-app: traefik-ingress-lb
  template:
    metadata:
      labels:
        k8s-app: traefik-ingress-lb
        name: traefik-ingress-lb
    spec:
      serviceAccountName: traefik-ingress-controller
      terminationGracePeriodSeconds<
最低0.47元/天 解锁文章
zhangshaohuas
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
入门traefik系列——traefik2.8部署与配置
qq_33816243的博客
09-30 6410
本文为traefik系列第二篇 详细介绍了traefik的部署配置,包含helm包部署和yaml文件部署两种方式,欢迎查看
入门traefik系列——路由配置与使用
qq_33816243的博客
09-30 4980
本篇主要讲解路由规则的配置与使用,包含HTTP域名路由、HTTPS域名路由(自有证书、自动续签证书)、TCP路由(TLS证书)、UDP路由以及多个k8s server路由配置
『Apisix安全篇』APISIX 加密传输实践:SSL TLS证书的配置与管理实战指南_apisix ssl
最新发布
2401_84973069的博客
05-13 1179
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
基于 Traefik 的激进 TLS 安全配置实践
east4ming的博客
12-24 1108
前言 Traefik是一个现代的HTTP反向代理和负载均衡器,使部署微服务变得容易。 Traefik可以与现有的多种基础设施组件(Docker、Swarm模式、Kubernetes、Marathon、Consul、Etcd、Rancher、Amazon ECS...)集成,并自动和动态地配置自己。 今天我们基于 Traefik on K8S 来详细说明如何对 TLS 安全进行「激进」配置。 环境基本信息 K8S 集群; 域名:ewhisper.cn(由 DNSPod 进行 DNS 管理,已指向 K8S 集
基于HTTPS的双向认证实现
dengxiaoqiang的专栏
10-29 1649
1.生成服务器证书     keytool -genkey -keyalg RSA  -alias server  -keystore server.jks   -validity 3650 2.生成客户端证书  3.把客户端证书导出为一个单独的cer文件: keytool -export -alias custom -file custom.cer -keystore cus
TraefikTLS配置
weixin_30650859的博客
04-16 428
生产环境的部署大多采用F5+ Traefik这种方式,因为Traefik的SSL方式相对来说比较慢,因此SSL更多的在F5上开放,而F5到Traefik之间以及后端都是http方式。 但客户需要在开发和测试环境直接用SSL,因此需要配置。 遇到一些小坑,记录一下理解 先生成一个secret,记住别搞个一年就过期的啊。 openssl req...
Traefik - 自动签发Let‘s Encrypt 免费ssl证书
DemingLiu的博客
08-05 664
云原生网关服务Traefik 部署使用Let's Encrypt 签发的免费ssl证书
Android TLS1.2双向认证demo
08-15
总结来说,实现Android与PC之间的TLS1.2双向认证涉及证书的生成、服务器和客户端的配置,以及安全连接的建立。通过这一系列步骤,我们可以提高应用的安全性,保护用户数据,防止未经授权的访问。在实际开发中,还...
TLS单、双向认证资料
11-27
TLS单、双向认证资料”这一标题提到了两个主要概念:TLS(Transport Layer Security,传输层安全协议)的单向认证和双向认证TLS是互联网上广泛使用的安全协议,用于确保网络通信的安全性,保护数据的隐私和完整...
Docker启用TLS实现安全配置的步骤
09-29
同时,确保客户端Docker配置也开启TLS验证。 6. **测试连接** 确认Docker守护进程已成功启用TLS并可安全访问,可以尝试运行一个简单的Docker命令,如`docker info`。如果配置正确,命令应该能够正常执行,表明TLS...
SSL/TLS一键配置工具下载
02-08
1、IIS Crypto 是一个免费工具,使管理员能够在 Windows Server 2008、2012、2016、2019 和 ...2、允许您重新排序 IIS 提供的 SSL/TLS 密码套件、更改高级设置、通过单击实施最佳实践、创建自定义模板和测试您的网站。
Openldap配置TLS加密传输
10-31
文档内容: 1、为啥要用TLS? 2、SSL/TLS 加密原理简介; 3、Openldap配置TLS加密传输步骤; 4、ldapclient客户端测试;
k8s学习笔记——traefik tls设置
潮落拾贝
08-15 804
//生成证书密钥,参考https://www.cnblogs.com/tugenhua0707/p/10927722.html
Kubernetes traefik tls证书到期替换
saynaihe的博客
06-21 994
背景: ssl证书都是一年签发的。到了六月份了一年一度的证书替换的日子到了…。过去的方法一直都是先delete secret,然后继续创建一个新的。这次就突发奇想的,还有其他方法吗…百度了一下还真的搜索到了: https://blog.csdn.net/cyxinda/article/details/107854881 我的证书是在腾讯云上面购买的 TrustAsia 域名型(DV)通配符(1 年)的 ssl证书。 考虑到成本毕竟申请的dv的泛域名证书。关于dv ov证书的区别: 此图片来源于网络 ​
k8s实践13:traefik配置https访问
weixin_34260991的博客
04-24 1621
1.参考文档 http://traefik.cn/ 2.访问方式简易说明 参考文档https://tonybai.com/2018/06/25/the-kubernetes-ingress-practice-for-https-service/ 前面一篇:traefik基础部署记录,介绍了最简单的http访问traefik,访问过程参考见下: client --- (via http) ---&g...
Kubernetes ingress配置
驰兔的博客
03-28 939
上篇文章给大家展示了 traefik 的安装使用以及简单的 ingress 的配置方法,这里我们来学习一下 ingress tls 以及 path 路径在 ingress 对象中的使用方法。
创建一个网站并为traefik设定证书
li1255994653的博客
03-16 244
1.为证书设定添加配置文件 certs-traefik.yaml tls: certificates: - certFile: /etc/certs/examplecert.crt keyFile: /etc/certs/examplecert.key 2.创建traefik和示例站点的docker compose文件traefik-compose.yml version: '3' services: reverse-proxy: # The offici
kubernetes ingress(三): traefik: 多域名及证书配置
weixin_30784945的博客
06-16 1550
目标: 部署三个服务traefik-ui,grafana,prometheus,并通过traefik 反向代理。 service namespaces domain name https traefik-ui traefik traefik.qyd.com Y grafana kube-system grafana.dfb.com N prometheus kube...
k8s中部署traefik并开启https支持
分享各种技术
05-17 2208
k8s中部署traefik并开启https
k8s 如何取消tls认证
07-31
取消Kubernetes的TLS认证可以通过以下步骤实现: 1. 首先,您需要编辑Kubernetes的配置文件kube-apiserver.yaml。在该文件中,找到`--authentication-mode`参数,并将其设置为`None`。这将禁用TLS认证。 2. 接下来,您需要重启kube-apiserver服务以使更改生效。您可以使用以下命令重启服务: ``` systemctl restart kube-apiserver ``` 3. 一旦kube-apiserver服务重新启动,TLS认证将被禁用,客户端将不再需要提供证书进行认证。 请注意,取消TLS认证会降低集群的安全性,因为任何人都可以连接到kube-apiserver并执行操作。因此,在生产环境中,强烈建议保持TLS认证以确保集群的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值