文章转载自:https://mp.weixin.qq.com/s?__biz=MzU4MjQ0MTU4Ng==&mid=2247484457&idx=1&sn=35112e988639997f0f29726cba44e35d&chksm=fdb90b34cace8222b998014113537669313b55c3280f7f4396b3afc5d66e54a3573c03bad043&cur_album_id=1319287026209947648&scene=190#rd

这篇文章讲述的是使用traefik配置服务访问使用https形式,使用免费的可自动续订的证书。当然参考这些内容,可以直接使用已有的证书来设置(参考网址:https://www.cnblogs.com/sanduzxcvbnm/p/14986597.html)。

另外就是使用中间件,访问http自动跳转到https.

本文是使用http 这种验证方式进行的,还有一种是使用DNS 校验的方式,地址:https://www.cnblogs.com/sanduzxcvbnm/p/15749641.html

这里就以 Traefik 的 WebUI 为例

参考转载的文章内容经过实践操作

k8s版本:1.20.12

traefik版本:2.4.8

我这里安装的traefik是使用kubeoperator安装k8s集群时选择的,已经安装有dashboard了,参考文章:https://www.cnblogs.com/sanduzxcvbnm/p/15741429.html

要使用 Let's Encrypt 来进行自动化 HTTPS,就需要首先开启 ACME,开启 ACME 需要通过静态配置的方式,也就是说可以通过环境变量、启动参数等方式来提供,我们这里还是直接使用启动参数的形式来开启,在 Traefik 的部署文件中添加如下命令行参数:

# 参考内容

args:

- --entrypoints.web.Address=:80

- --entrypoints.websecure.Address=:443

- --api.insecure=true  # 开启 webui 需要该参数

- --providers.kubernetescrd

- --api

- --api.dashboard=true

- --accesslog

# 使用 tls 验证这种方式

- --certificatesresolvers.default.acme.tlsChallenge=true

# 邮箱配置

- --certificatesResolvers.default.acme.email="ych_1024@163.com"

# 保存 ACME 证书的位置

- --certificatesResolvers.default.acme.storage="acme.json"

# 下面是用于测试的ca服务,如果https证书生成成功了,则移除下面参数

- --certificatesresolvers.default.acme.caserver=https://acme-staging-v02.api.letsencrypt.org/directory

这里我们使用的是 tlsChallenge 这种 ACME 验证方式,需要注意的是当使用这种验证时,Let's Encrypt 到 Traefik 443 端口必须是可达的,除了这种验证方式外,还有 httpChallenge 和 dnsChallenge 两种验证方式,更常用的是 http 这种验证方式,关于这几种验证方式的使用可以查看文档:

,Let's Encrypt 到 Traefik 443 端口必须是可达的:我这是在公司内部,防火墙可以映射443端口到指定主机,但是443端口被运营商禁止的

我这里安装的traefik是使用kubeoperator安装k8s集群时选择的,对照上面的文件,修改步骤有两种,第一种是修改对应的yaml文件,第二种是通过kubepi进行修改

修改对应的yaml文件

通过kubepi进行修改:略

上面我们相当于指定了一个名为 default 的证书解析器,然后要注意的是,一定要将这里的 WebUI 的域名 www.daniel.com 解析到 Traefik 的所在节点,解析完成后,重新部署 Traefik:kubectl apply -f traefik.yaml

部署完成后,我们需要让 WebUI 的域名去监听 443 端口,因为我们这里使用的是 tlsChallenge 这种验证方式,在上面的 IngressRoute.yaml 文件中新建一个对象,用来监听 443 端口,如下所示:

# 参考文档内容

apiVersion: traefik.containo.us/v1alpha1

kind: IngressRoute

metadata:

  name: traefik-webui-tls

  namespace: kube-system

spec:

  entryPoints:

  - websecure  # 注意这里是websecure这个entryPoint,监控443端口

  routes:

  - match: Host(`traefik.youdianzhishi.com`)

    kind: Rule

    services:

    - name: traefik

      port: 8080

  tls:

    certResolver: default  # 使用我们配置的 default 这个解析器


# 根据实际情况使用的内容,参考网址:https://www.cnblogs.com/sanduzxcvbnm/p/15741429.html

# cat IngressRoute.yaml

apiVersion: traefik.containo.us/v1alpha1

kind: IngressRoute

metadata:

  namespace: kube-system

  name: traefik-dashboard-tls

  labels:

    app.kubernetes.io/name: traefik

    kubernetes.io/ingress.class: traefik

spec:

  entryPoints:

    - websecure #  # 注意这里是websecure这个entryPoint,监控443端口

  routes:

  - match: Host(`www.daniel.com`) && PathPrefix(`/dashboard`) || PathPrefix(`/api`) # 新加上Host(`www.daniel.com`) &&

    kind: Rule

    services:

    - name: api@internal

      kind: TraefikService

  tls:

    certResolver: default # # 使用我们配置的 default 这个解析器

然后更新对象:kubectl apply -f IngressRoute.yaml

现在有两个 IngressRoute 对象,分别是traefik-dashboard和traefik-dashboard-tls

这个时候如果一切正常的话我们已经可以通过 HTTPS 去访问我们的服务了:

Traefik 会自动跟踪其生成的 ACME 证书的到期日期。如果证书过期之前还不到 30 天了,Traefik 会尝试进行自动续订。

同样的,我们通过 HTTP 协议也是可以访问到的,但是如果需要将 HTTP 请求强制跳转到 HTTPS 的话,就需要借助 Traefik 2.0 的提供的中间件来完成了。

同样,在上面的 IngressRoute.yaml 文件中添加一个 Middleware 的 CRD 对象,内容如下所示:

apiVersion: traefik.containo.us/v1alpha1

kind: Middleware

metadata:

  name: redirect-https

  namespace: kube-system

spec:

  redirectScheme:

    scheme: https

这里我们就声明了一个名为 redirectSchemea 的中间件,该中间件可以将我们的请求跳转到另外的 scheme 请求,然后将该中间件配置到 HTTP 请求的服务上面:

# 参考内容

apiVersion: traefik.containo.us/v1alpha1

kind: IngressRoute

metadata:

  name: traefik-webui

  namespace: kube-system

spec:

  entryPoints:

  - web

  routes:

  - match: Host(`traefik.youdianzhishi.com`)

    kind: Rule

    services:

    - name: traefik

      port: 8080

    middlewares:  # 使用上面新建的中间件

    - name: redirect-https


# 实际使用的内容,参考网址:https://www.cnblogs.com/sanduzxcvbnm/p/15741429.html

apiVersion: traefik.containo.us/v1alpha1

kind: IngressRoute

metadata:

  namespace: kube-system

  name: traefik-dashboard

  labels:

    app.kubernetes.io/name: traefik

    kubernetes.io/ingress.class: traefik

spec:

  entryPoints:

    - web

  routes:

  - match: Host(`www.daniel.com`) && PathPrefix(`/dashboard`) || PathPrefix(`/api`)

    kind: Rule

    services:

    - name: api@internal

      kind: TraefikService

    middlewares:  # 使用上面新建的中间件

    - name: redirect-https

然后更新对象:kubectl apply -f IngressRoute.yaml

这样当我们通过 HTTP 去访问 WebUI 服务时,也会自动跳转到 HTTPS 上面去.

本文中用到的资源清单文件可以从这里获取:https://github.com/cnych/kubeapp/tree/master/traefik2/https。

Traefik 2.0 实现自动化 HTTPS的更多相关文章

  1. 云原生生态周报 Vol. 21 | Traefik 2.0 正式发布

    作者 | 浔鸣.心水.元毅.源三.衷源 业界要闻 CNCF 计划将 TOC 升至 11 人 技术监督委员会(TOC)是 CNCF 的三大核心管理机构之一,从 2020 年 1 月起,TOC 将从 9 ...

  2. Traefik 2.0 tcp 路由试用

    对于tcp 的路由是基于sni (需要tls)但是可以通过统配(*) 解决不试用tls的,当然也可以让Traefik 自动生成tls 证书 以下是测试http 以及mysql 的tcp 路由配置(de ...

  3. Traefik 2.0 发布了

    Traefik 2.0 发布了,包含了很多不错的行特性 tcp 路由(同时也支持sni 路由) 参考配置 tcp: routers: to-db-1: entrypoints: - web-secur ...

  4. Traefik 2.0 实现灰度发布

    文章转载自:https://mp.weixin.qq.com/s?__biz=MzU4MjQ0MTU4Ng==&mid=2247484478&idx=1&sn=238390dc ...

  5. Traefik 2.0 暴露 Redis(TCP) 服务

    文章转载自:https://mp.weixin.qq.com/s?__biz=MzU4MjQ0MTU4Ng==&mid=2247484452&idx=1&sn=0a17b907 ...

  6. Tomcat 6.0下配置HTTPS

    最近项目需要使用到https,所以回顾整理了一下,其实在tomcat的文档中已经有了详细描述,我们启动Tomcat后,可以在docs文档中找到 地址如下:http://localhost:8080/d ...

  7. 《吐血整理》高级系列教程-吃透Fiddler抓包教程(30)-Fiddler如何抓取Android7.0以上的Https包-番外篇

    1.简介 通过宏哥前边几篇文章的讲解和介绍想必大家都知道android7.0以上,有android的机制不在信任用户证书,导致https协议无法抓包.除非把证书装在系统信任的证书里,此时手机需要roo ...

  8. 《吐血整理》高级系列教程-吃透Fiddler抓包教程(26)-Fiddler如何抓取Android7.0以上的Https包-上篇

    1.简介 众所周知,假如设备是android 7.0+的系统同时应用设置targetSdkVersion >= 24的话,那么应用默认是不信任安装的Fiddler用户证书的,所以你就没法抓到应用 ...

  9. 关于Android 7.0无法进行https抓包的问题

    在App进行数据请求的时候,如果每次都打印log去判断是一件很不"人性化"的操作行为,所以一般都会进行抓包分析. 以最常用的软件Fiddler来说,进行普通的http抓包没什么事, ...

随机推荐

  1. 5-4 Sentinel 限流_流控与降级

    Sentinel 介绍 什么是Sentinel Sentinel也是Spring Cloud Alibaba的组件 Sentinel英文翻译"哨兵\门卫" 随着微服务的流行,服务和 ...

  2. 1_day01_java入门

    java入门 学习目标: 1.熟悉计算机编程语言 2.熟练掌握java特点 3.熟练配置java开发环境 4.熟练编写入门程序 5.熟练编写注释信息 一.计算机语言 1.1 什么是编程语言 计算机语言 ...

  3. Harbor企业级私服Docker镜像仓库搭建及应用

    一.简介 Docker Hub作为Docker默认官方公共镜像,如果想要自己搭建私有镜像,Harbor是企业级镜像库非常好的选择. 所谓私有仓库,也就是在本地(局域网)搭建的一个类似公共仓库的东西,搭 ...

  4. Linux下IPC之共享内存的使用方法

    基本参考 <Unix环境高级编程>第14.9节共享内存来学习. 参考blog:https://blog.csdn.net/weixin_45794138/article/details/1 ...

  5. Mybatis源码解读-配置加载和Mapper的生成

    问题 Mybatis四大对象的创建顺序? Mybatis插件的执行顺序? 工程创建 环境:Mybatis(3.5.9) mybatis-demo,参考官方文档 简单示例 这里只放出main方法的示例, ...

  6. SpringBoot使用CORS的addCorsMappings中会遇到的问题

    跨域需要后端需要设置响应的跨域头 如下 public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/ ...

  7. python 文件操作(读写等)

    简介 在实际开发中我们需要对文件做一些操作,例如读写文件.在文件中新添内容等,通常情况下,我们会使用open函数进行相关文件的操作,下面将介绍一下关于open读写的相关内容. open()方法 ope ...

  8. Ubu18开机自启动-Systemd

    参考链接: https://blog.csdn.net/qq_16268979/article/details/114771854 本文内容为个人测试记录,具体文件目录请以读者自己电脑为准,此处只是提 ...

  9. 在阿里云Centos7.6上利用docker搭建Jenkins来自动化部署Django项目

    原文转载自「刘悦的技术博客」https://v3u.cn/a_id_84 一般情况下,将一个项目部署到生产环境的流程如下: 需求分析-原型设计-开发代码-内网部署-提交测试-确认上线-备份数据-外网更 ...

  10. Dolphin Scheduler 1.2.0 部署参数分析

    本文章经授权转载 1 组件介绍 Apache Dolphin Scheduler是一个分布式易扩展的可视化DAG工作流任务调度系统.致力于解决数据处理流程中错综复杂的依赖关系,使调度系统在数据处理流程 ...