traefik TLS认证配置

最新推荐文章于 2025-01-14 07:42:29 发布
最新推荐文章于 2025-01-14 07:42:29 发布
阅读量3.4k 收藏 2
点赞数 1
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangshaohuas/article/details/108446684
版权
本文介绍了如何配置Traefik以支持HTTPS,包括使用openssl生成自签名CA证书,通过kubectl创建secret存储证书,配置Traefik的入口规则以实现HTTP到HTTPS的自动跳转,并详细阐述了证书的挂载以及ingress中path的用法,以实现实现不同服务的路径路由。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在现在大部分场景下面我们都会使用 https 来访问我们的服务,这节课我们将使用一个自签名的证书,当然你有在一些正规机构购买的 CA 证书是最好的,这样任何人访问你的服务的时候都是受浏览器信任的证书。

一:使用下面的 openssl 命令生成 CA 证书:

openssl req -newkey rsa:2048 -nodes -keyout tls.key -x509 -days 365 -out tls.crt

[root@k8s-master traefik]# ll
总用量 16

-rw-r--r--. 1 root root 1220 9月   5 12:48 tls.crt
-rw-r--r--. 1 root root 1704 9月   5 12:48 tls.key

二:现在我们有了证书,我们可以使用 kubectl 创建一个 secret 对象来存储上面的证书:

[root@k8s-master traefik]# kubectl create secret generic traefik-cert --from-file=tls.crt --from-file=tls.key -n kube-system
secret/traefik-cert created


[root@k8s-master traefik]# kubectl get secret -n kube-system|grep traefik
traefik-cert                                     Opaque                                2      49s

三:配置 Traefik
前面我们使用的是 Traefik 的默认配置,现在我们来配置 Traefik,让其支持 https:

[root@k8s-master traefik]# cat traefik.toml 
defaultEntryPoints = ["http", "https"]

[entryPoints]
  [entryPoints.http]
  address = ":80"
    [entryPoints.http.redirect]
      entryPoint = "https"
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
      [[entryPoints.https.tls.certificates]]
      CertFile = "/ssl/tls.crt"
      KeyFile = "/ssl/tls.key"

上面的配置文件中我们配置了 http 和 https 两个入口,并且配置了将 http 服务强制跳转到 https 服务,这样我们所有通过 traefik 进来的服务都是 https 的。

要访问 https 服务,当然就得配置对应的证书了,可以看到我们指定了 CertFile 和 KeyFile 两个文件,由于 traefik pod 中并没有这两个证书,所以我们要想办法将上面生成的证书挂载到 Pod 中去。

我们可以通过 secret 对象以 volume 形式挂载到 Pod 中。

我们可以将上面的 traefik.toml 配置文件通过一个 ConfigMap 对象挂载到 traefik pod 中去:

[root@k8s-master traefik]# kubectl create configmap traefik-conf --from-file=traefik.toml -n kube-system
configmap/traefik-conf created

现在就可以更改下之前的 traefik pod 的 yaml 文件了:

---
kind: Deployment
apiVersion: apps/v1
metadata:
  name: traefik-ingress-controller
  namespace: kube-system
  labels:
    k8s-app: traefik-ingress-lb
spec:
  replicas: 1
  selector:
    matchLabels:
      k8s-app: traefik-ingress-lb
  template:
    metadata:
      labels:
        k8s-app: traefik-ingress-lb
        name: traefik-ingress-lb
    spec:
      serviceAccountName: traefik-ingress
最低0.47元/天 解锁文章
创建一个网站并为traefik设定证书
li1255994653的博客
03-16 378
1.为证书设定添加配置文件 certs-traefik.yaml tls: certificates: - certFile: /etc/certs/examplecert.crt keyFile: /etc/certs/examplecert.key 2.创建traefik和示例站点的docker compose文件traefik-compose.yml version: '3' services: reverse-proxy: # The offici
基于 Traefik 的激进 TLS 安全配置实践
east4ming的博客
12-24 1293
前言 Traefik是一个现代的HTTP反向代理和负载均衡器,使部署微服务变得容易。 Traefik可以与现有的多种基础设施组件(Docker、Swarm模式、Kubernetes、Marathon、Consul、Etcd、Rancher、Amazon ECS...)集成,并自动和动态地配置自己。 今天我们基于 Traefik on K8S 来详细说明如何对 TLS 安全进行「激进」配置。 环境基本信息 K8S 集群; 域名:ewhisper.cn(由 DNSPod 进行 DNS 管理,已指向 K8S 集
TraefikTLS配置
weixin_30650859的博客
04-16 495
生产环境的部署大多采用F5+ Traefik这种方式,因为Traefik的SSL方式相对来说比较慢,因此SSL更多的在F5上开放,而F5到Traefik之间以及后端都是http方式。 但客户需要在开发和测试环境直接用SSL,因此需要配置。 遇到一些小坑,记录一下理解 先生成一个secret,记住别搞个一年就过期的啊。 openssl req...
k8s学习笔记——traefik tls设置
潮落拾贝
08-15 968
//生成证书密钥,参考https://www.cnblogs.com/tugenhua0707/p/10927722.html
基于HTTPS的双向认证实现
dengxiaoqiang的专栏
10-29 1696
1.生成服务器证书     keytool -genkey -keyalg RSA  -alias server  -keystore server.jks   -validity 3650 2.生成客户端证书  3.把客户端证书导出为一个单独的cer文件: keytool -export -alias custom -file custom.cer -keystore cus
Kubernetes的ingress服务部署、会话保持,TLS配置认证配置、地址重写
Thorne_lu的博客
11-19 3448
Ingress是一种全局的、为了代理不同后端 Service 而设置的负载均衡服务,就是 Kubernetes 里的 Ingress 服务。 Ingress由两部分组成:Ingress controller和Ingress服务。 Ingress Controller 会根据你定义的 Ingress 对象,提供对应的代理能力。业界常用的各 种反向代理项目,比如 Nginx、HAPro
CentOS7下Traefik2.0.4配置与启动指南
- **安全和TLS**:Traefik支持自动TLS,即通过Let's Encrypt自动处理证书的获取和更新,大大简化了HTTPS的配置。 ### Linux环境下的Traefik优化和调试 在Linux环境下运行Traefik时,可能会遇到各种问题,如权限问题...
一步实现Traefik代理的安全配置指南
4. 其他安全措施:包括自动配置 TLS/SSL、自托管的SSO(单点登录)身份验证、多因素认证(MFA)、支持安全密钥和一次性密码生成器等。 三、SSO身份验证 Traefik支持自托管的SSO身份验证,这意味着用户可以使用一个...
(k8s)Kubernetes 部署 Ingress 控制器 Traefik v2.0
Richardlygo的博客
10-14 1185
一、Traefik 简介 二、Kubernetes 部署 Traefik 1、创建 CRD 资源 2、创建 RBAC 权限 3、创建 Traefik 配置文件 4、节点设置 Label 标签 5、Kubernetes 部署 Traefik 三、Traefik 路由规则配置 1、配置 HTTP 路由规则 (Traefik Dashboard 为例) 2、配置 HTTPS 路由规则...
traefik添加多证书
weixin_30650039的博客
04-21 755
证书准备 自己制作 这个不赘述了,网上一大把 购买的ssl证书 这里使用的是购买的ssl证书 问题纠正 有些说法是traefik证书名字必须是tls(比如: tls.pem, tls.key),这是错误的说法,下面就以非tls名字命名的证书来实现traefik ssl证书的添加 traefik中ssl和config挂载路径问题 在traefik-deployment.yaml中我们知道需要挂...
traefik-forward-auth:最小前向身份验证服务,可为traefik反向代理提供基于GoogleOpenID oauth的登录和身份验证
02-03
Traefik转发身份验证 一种最小的前向身份验证服务,可为反向代理/负载平衡器提供OAuth / SSO登录和身份验证。 为什么? 无缝地将任何http服务与单个端点重叠(请参阅: url-path ) 支持多个提供商,包括Google和OpenID Connect(由Azure,Github,Salesforce等支持) 通过动态生成redirect_uri的来支持多个域/子域 允许根据请求参数有选择地应用/绕过身份验证(请参阅rules ) 支持使用集中式身份验证host / redirect_uri(请参阅auth-host ) 允许身份验证在多个域中持续存在(请参阅) 支持Google令牌生存期以外的扩展身份验证(请参阅:lifetime ) 内容 发布 我们建议在thomseddon/traefik-forward-auth:2 hub上使用2标签( thomseddon/traefik-forward-auth:2 )。 您还可以使用在和上找到的最新增量版本。 ARM版本也可在泊坞窗枢纽,只是追加-arm或-arm64到你想要释放(例如2-arm或2.1
traefik-certs:从traefik提取SSL证书并创建证书文件以在其他地方使用
05-09
特拉菲克证书 从traefik提取SSL证书并创建证书文件以供其他地方使用的最少服务。 快速开始 请参阅(examples)目录,以了解docker compose演示配置的示例。 配置 环境变量是: 环境变量 默认 描述 CERT_PATH /certs 放置证书的目录的路径 ACME_PATH traefik创建的acme.json的路径 输出 监视acme.json的程序进行更改,并分别复制名称为domain.crt和domain.chain.crt证书和证书链。 版权 2018汤姆·塞登 执照
Kubernetes traefik tls证书到期替换
saynaihe的博客
06-21 1162
背景: ssl证书都是一年签发的。到了六月份了一年一度的证书替换的日子到了…。过去的方法一直都是先delete secret,然后继续创建一个新的。这次就突发奇想的,还有其他方法吗…百度了一下还真的搜索到了: https://blog.csdn.net/cyxinda/article/details/107854881 我的证书是在腾讯云上面购买的 TrustAsia 域名型(DV)通配符(1 年)的 ssl证书。 考虑到成本毕竟申请的dv的泛域名证书。关于dv ov证书的区别: 此图片来源于网络 ​
入门traefik系列——路由配置与使用
qq_33816243的博客
09-30 5888
本篇主要讲解路由规则的配置与使用,包含HTTP域名路由、HTTPS域名路由(自有证书、自动续签证书)、TCP路由(TLS证书)、UDP路由以及多个k8s server路由配置
Kubernetes应用中使用TLS/SSL证书的两种方法及实践 详细整理版
且炼时光
08-27 8129
在k8s应用注入自签发的TLS/SSL证书有两种思路:1.使用certificates.k8s.io API 进行签发。2. 自己生成CA证书进行签发,将所需的证书及公密钥打包进secret。本文将对这两种方法进行比较并动手实践。 文章目录零 获取自签发CA根证书1. 准备好openssl工具2. 创建 CA证书签名申请 配置文件(ca-csr-config.json)3. 生成 CA密钥及证书一 certificates.k8s.io API签发1 配置kubernetes使用自定义的CA根证书二 使用自
Go实战--golang中使用HTTPS以及TSL(.crt、.key、.pem区别以及crypto/tls包介绍)
热门推荐
一蓑烟雨任平生 也无风雨也无晴
08-23 5万+
生命不止,继续go go go!!!HTTP与HTTPS在WWDC 2016上,苹果在发布iOS 9的同时也向开发者传递了一个消息,那就是到2017年1月1日时App Store中所有应用都必须启用 App Transport Security应用程序安全传输协议,从而提升应用和系统安全性。HTTPS是Hyper Text Transfer Protocol Secure的缩写,相比http,多了一
【后端面试总结】tls中.crt和.key的关系
最新发布
ThisIsClark
01-14 704
crt文件,即证书文件,包含了用于验证通信方身份的公钥以及相关的证书信息。这通常是由证书颁发机构(CA, Certificate Authority)签发的数字证书。数字证书包含了与公钥相关的信息,如证书所有者的信息、证书的有效期等。.key文件,即私钥文件,包含了与数字证书相对应的私钥。私钥是一个保密的加密密钥,用于解密由公钥加密的信息。在SSL/TLS通信中,服务器会使用其私钥进行身份验证和密钥交换。
traefik https配置
07-31 6238
前言 随着https的流行,现在绝大多数网站都转向了https。在kubernetes中使用traefik暴露服务,我们也可以添加上https支持,这样外部就可以通过https访问,进一步提高安全性。 环境 kubernetes 1.10.4 traefik v1.6 k8s集群部署推荐项目:https://github.com/gjmzj/kubeasz https证书申请...
SSL/TLS协议原理与证书签名多种生成方式实践指南
WeiyiGeek 唯一极客IT知识分享
04-10 2206
本章目录:0x00 前言简述CA 认证原理PKI 公钥基础设施0x01 自签名SSL证书生成1.在线(脚本)生成2.OpenSSL 生成3.CFSSL 生成0x03 cfssl 使用实践0x00 前言简述简单快速了解HTTP、HTTPS、SSL、TLS概念:HTTP 是一个网络协议,是专门用来传输 Web 内容,大部分网站都是通过 HTTP 协议来传输 Web 页面、以及...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值