文章转载自:https://mp.weixin.qq.com/s?__biz=MzU4MjQ0MTU4Ng==&mid=2247484457&idx=1&sn=35112e988639997f0f29726cba44e35d&chksm=fdb90b34cace8222b998014113537669313b55c3280f7f4396b3afc5d66e54a3573c03bad043&cur_album_id=1319287026209947648&scene=190#rd

这篇文章讲述的是使用traefik配置服务访问使用https形式,使用免费的可自动续订的证书。当然参考这些内容,可以直接使用已有的证书来设置(参考网址:https://www.cnblogs.com/sanduzxcvbnm/p/14986597.html)。

另外就是使用中间件,访问http自动跳转到https.

本文是使用http 这种验证方式进行的,还有一种是使用DNS 校验的方式,地址:https://www.cnblogs.com/sanduzxcvbnm/p/15749641.html

这里就以 Traefik 的 WebUI 为例

参考转载的文章内容经过实践操作

k8s版本:1.20.12

traefik版本:2.4.8

我这里安装的traefik是使用kubeoperator安装k8s集群时选择的,已经安装有dashboard了,参考文章:https://www.cnblogs.com/sanduzxcvbnm/p/15741429.html

要使用 Let's Encrypt 来进行自动化 HTTPS,就需要首先开启 ACME,开启 ACME 需要通过静态配置的方式,也就是说可以通过环境变量、启动参数等方式来提供,我们这里还是直接使用启动参数的形式来开启,在 Traefik 的部署文件中添加如下命令行参数:

# 参考内容

args:

- --entrypoints.web.Address=:80

- --entrypoints.websecure.Address=:443

- --api.insecure=true  # 开启 webui 需要该参数

- --providers.kubernetescrd

- --api

- --api.dashboard=true

- --accesslog

# 使用 tls 验证这种方式

- --certificatesresolvers.default.acme.tlsChallenge=true

# 邮箱配置

- --certificatesResolvers.default.acme.email="ych_1024@163.com"

# 保存 ACME 证书的位置

- --certificatesResolvers.default.acme.storage="acme.json"

# 下面是用于测试的ca服务,如果https证书生成成功了,则移除下面参数

- --certificatesresolvers.default.acme.caserver=https://acme-staging-v02.api.letsencrypt.org/directory

这里我们使用的是 tlsChallenge 这种 ACME 验证方式,需要注意的是当使用这种验证时,Let's Encrypt 到 Traefik 443 端口必须是可达的,除了这种验证方式外,还有 httpChallenge 和 dnsChallenge 两种验证方式,更常用的是 http 这种验证方式,关于这几种验证方式的使用可以查看文档:

,Let's Encrypt 到 Traefik 443 端口必须是可达的:我这是在公司内部,防火墙可以映射443端口到指定主机,但是443端口被运营商禁止的

我这里安装的traefik是使用kubeoperator安装k8s集群时选择的,对照上面的文件,修改步骤有两种,第一种是修改对应的yaml文件,第二种是通过kubepi进行修改

修改对应的yaml文件

通过kubepi进行修改:略

上面我们相当于指定了一个名为 default 的证书解析器,然后要注意的是,一定要将这里的 WebUI 的域名 www.daniel.com 解析到 Traefik 的所在节点,解析完成后,重新部署 Traefik:kubectl apply -f traefik.yaml

部署完成后,我们需要让 WebUI 的域名去监听 443 端口,因为我们这里使用的是 tlsChallenge 这种验证方式,在上面的 IngressRoute.yaml 文件中新建一个对象,用来监听 443 端口,如下所示:

# 参考文档内容

apiVersion: traefik.containo.us/v1alpha1

kind: IngressRoute

metadata:

  name: traefik-webui-tls

  namespace: kube-system

spec:

  entryPoints:

  - websecure  # 注意这里是websecure这个entryPoint,监控443端口

  routes:

  - match: Host(`traefik.youdianzhishi.com`)

    kind: Rule

    services:

    - name: traefik

      port: 8080

  tls:

    certResolver: default  # 使用我们配置的 default 这个解析器


# 根据实际情况使用的内容,参考网址:https://www.cnblogs.com/sanduzxcvbnm/p/15741429.html

# cat IngressRoute.yaml

apiVersion: traefik.containo.us/v1alpha1

kind: IngressRoute

metadata:

  namespace: kube-system

  name: traefik-dashboard-tls

  labels:

    app.kubernetes.io/name: traefik

    kubernetes.io/ingress.class: traefik

spec:

  entryPoints:

    - websecure #  # 注意这里是websecure这个entryPoint,监控443端口

  routes:

  - match: Host(`www.daniel.com`) && PathPrefix(`/dashboard`) || PathPrefix(`/api`) # 新加上Host(`www.daniel.com`) &&

    kind: Rule

    services:

    - name: api@internal

      kind: TraefikService

  tls:

    certResolver: default # # 使用我们配置的 default 这个解析器

然后更新对象:kubectl apply -f IngressRoute.yaml

现在有两个 IngressRoute 对象,分别是traefik-dashboard和traefik-dashboard-tls

这个时候如果一切正常的话我们已经可以通过 HTTPS 去访问我们的服务了:

Traefik 会自动跟踪其生成的 ACME 证书的到期日期。如果证书过期之前还不到 30 天了,Traefik 会尝试进行自动续订。

同样的,我们通过 HTTP 协议也是可以访问到的,但是如果需要将 HTTP 请求强制跳转到 HTTPS 的话,就需要借助 Traefik 2.0 的提供的中间件来完成了。

同样,在上面的 IngressRoute.yaml 文件中添加一个 Middleware 的 CRD 对象,内容如下所示:

apiVersion: traefik.containo.us/v1alpha1

kind: Middleware

metadata:

  name: redirect-https

  namespace: kube-system

spec:

  redirectScheme:

    scheme: https

这里我们就声明了一个名为 redirectSchemea 的中间件,该中间件可以将我们的请求跳转到另外的 scheme 请求,然后将该中间件配置到 HTTP 请求的服务上面:

# 参考内容

apiVersion: traefik.containo.us/v1alpha1

kind: IngressRoute

metadata:

  name: traefik-webui

  namespace: kube-system

spec:

  entryPoints:

  - web

  routes:

  - match: Host(`traefik.youdianzhishi.com`)

    kind: Rule

    services:

    - name: traefik

      port: 8080

    middlewares:  # 使用上面新建的中间件

    - name: redirect-https


# 实际使用的内容,参考网址:https://www.cnblogs.com/sanduzxcvbnm/p/15741429.html

apiVersion: traefik.containo.us/v1alpha1

kind: IngressRoute

metadata:

  namespace: kube-system

  name: traefik-dashboard

  labels:

    app.kubernetes.io/name: traefik

    kubernetes.io/ingress.class: traefik

spec:

  entryPoints:

    - web

  routes:

  - match: Host(`www.daniel.com`) && PathPrefix(`/dashboard`) || PathPrefix(`/api`)

    kind: Rule

    services:

    - name: api@internal

      kind: TraefikService

    middlewares:  # 使用上面新建的中间件

    - name: redirect-https

然后更新对象:kubectl apply -f IngressRoute.yaml

这样当我们通过 HTTP 去访问 WebUI 服务时,也会自动跳转到 HTTPS 上面去.

本文中用到的资源清单文件可以从这里获取:https://github.com/cnych/kubeapp/tree/master/traefik2/https。

Traefik 2.0 实现自动化 HTTPS的更多相关文章

  1. 云原生生态周报 Vol. 21 | Traefik 2.0 正式发布

    作者 | 浔鸣.心水.元毅.源三.衷源 业界要闻 CNCF 计划将 TOC 升至 11 人 技术监督委员会(TOC)是 CNCF 的三大核心管理机构之一,从 2020 年 1 月起,TOC 将从 9 ...

  2. Traefik 2.0 tcp 路由试用

    对于tcp 的路由是基于sni (需要tls)但是可以通过统配(*) 解决不试用tls的,当然也可以让Traefik 自动生成tls 证书 以下是测试http 以及mysql 的tcp 路由配置(de ...

  3. Traefik 2.0 发布了

    Traefik 2.0 发布了,包含了很多不错的行特性 tcp 路由(同时也支持sni 路由) 参考配置 tcp: routers: to-db-1: entrypoints: - web-secur ...

  4. Traefik 2.0 实现灰度发布

    文章转载自:https://mp.weixin.qq.com/s?__biz=MzU4MjQ0MTU4Ng==&mid=2247484478&idx=1&sn=238390dc ...

  5. Traefik 2.0 暴露 Redis(TCP) 服务

    文章转载自:https://mp.weixin.qq.com/s?__biz=MzU4MjQ0MTU4Ng==&mid=2247484452&idx=1&sn=0a17b907 ...

  6. Tomcat 6.0下配置HTTPS

    最近项目需要使用到https,所以回顾整理了一下,其实在tomcat的文档中已经有了详细描述,我们启动Tomcat后,可以在docs文档中找到 地址如下:http://localhost:8080/d ...

  7. 《吐血整理》高级系列教程-吃透Fiddler抓包教程(30)-Fiddler如何抓取Android7.0以上的Https包-番外篇

    1.简介 通过宏哥前边几篇文章的讲解和介绍想必大家都知道android7.0以上,有android的机制不在信任用户证书,导致https协议无法抓包.除非把证书装在系统信任的证书里,此时手机需要roo ...

  8. 《吐血整理》高级系列教程-吃透Fiddler抓包教程(26)-Fiddler如何抓取Android7.0以上的Https包-上篇

    1.简介 众所周知,假如设备是android 7.0+的系统同时应用设置targetSdkVersion >= 24的话,那么应用默认是不信任安装的Fiddler用户证书的,所以你就没法抓到应用 ...

  9. 关于Android 7.0无法进行https抓包的问题

    在App进行数据请求的时候,如果每次都打印log去判断是一件很不"人性化"的操作行为,所以一般都会进行抓包分析. 以最常用的软件Fiddler来说,进行普通的http抓包没什么事, ...

随机推荐

  1. 09 MySQL_SQL日期函数和聚合函数

    日期相关的函数 seclect 'helloworld'; 1. 获取当前时间 now(); select now(); 2.获取当前的日期 curdate(); select curdate(); ...

  2. Scala 练习题 学生分数案例

    一.相关信息题目:1.统计班级人数2.统计学生的总分3.统计总分年级排名前十学生各科的分数4.统计总分大于年级平均分的学生5.统计每科都及格的学生6.统计偏科最严重的前100名学生数据样例(部分数据) ...

  3. 树莓派4B串口测试与开发

    参考文档: https://shumeipai.nxez.com/2021/08/09/raspberry-pi-4-activating-additional-uart-ports.html 树莓派 ...

  4. InvalidClassException异常_原理和解决方案和练习_序列化集合

    InvalidClassException异常_原理和解决方案 当JVM反序列化对象的时候,能找到class文件,但是class文件在序列化对象之后发生了修改,那么反序列化操作也会失败,抛出一个Inv ...

  5. 剑指offer——day-1

    今天开始记录一下剑指offer的题目训练,提升一下自己的编程能力吧 题目一: 用两个栈实现一个队列.队列的声明如下,请实现它的两个函数 appendTail 和 deleteHead ,分别完成在队列 ...

  6. Ubu18开机自启动-Systemd

    参考链接: https://blog.csdn.net/qq_16268979/article/details/114771854 本文内容为个人测试记录,具体文件目录请以读者自己电脑为准,此处只是提 ...

  7. 如何有效地开发 Jmix 扩展组件

    扩展组件的概念在使用 Jmix 框架开发中扮演着非常重要的角色.我们将在本文探索什么是扩展组件以及 Jmix Studio 在扩展组件开发和应用程序模块化方面能给开发者带来什么帮助. Jmix 中的扩 ...

  8. CF717 Festival Organization

    \(CF717\ Festival\ Organization\) Description 一个合法的串定义为:长度在 \([l,r]\) 之间,且只含 \(0,1\),并且不存在连续 \(2\) 个 ...

  9. 故障案例 | 慢SQL引发MySQL高可用切换排查全过程

    作者:梁行 万里数据库DBA,擅长数据库性能问题诊断.事务与锁问题的分析等,负责处理客户MySQL日常运维中的问题,对开源数据库相关技术非常感兴趣. GreatSQL社区原创内容未经授权不得随意使用, ...

  10. 最新MongoDB安装,学习笔记

    MongoDB 导读 作者还在陆续更新中,如果喜欢作者的笔记,觉得可以学习到有帮助,后面会不断学习新内容,就点个关注吧,如果觉得文章有关注可以点个赞,谢谢: 官网:https://www.mongod ...