目的

内网k8s开发环境配置HTTPS,保持与生产环境的配置的一致性,其必要性有:

  • PWA开发,HTTPS是必要条件
  • 网页引入HTTP资源,如果开发环境是HTTP就不会被开发和测试人员发现,造成生产环境故障
  • HTTP/2,与HTTP相差太大,必须保持环境一致

cert-manager介绍

cert-manager是Kubernetes的附加组件,用于自动管理和颁发各种发行来源的TLS证书。它将确保证书有效并定期更新,并尝试在到期前的适当时间更新证书。

方法

开发环境在内网,做不了域名验证,无法使用Let's Encrypt颁发和自动更新证书,所以采用自签名CA证书+由此CA颁发证书的方式。

  1. 创建自签名发行者
  2. 生成CA证书
  3. 创建CA发行者(ClusterIssuer)
  4. 生成网站证书
  5. 将网站证书配置到Ingress

实施

前提:

  • Kubernetes环境
  • 开发机器已配置hosts,域名site.example.com指向Ingress对外ip
  • 站点已部署至k8s,Ingress开NodePort端口http30080、https30443,即现在可通过http://site.example.com:30080访问到nginx站点

1、创建自签名发行者

# selfsigned-issuer.issuer.yaml

# 参考:https://cert-manager.io/docs/configuration/selfsigned/

apiVersion: cert-manager.io/v1

kind: Issuer

metadata:

  name: selfsigned-issuer

  namespace: cert-manager

spec:

  selfSigned: {}

2、生成CA证书

# ca-example-com.certificate.cert-manager.yaml

# 参考:https://cert-manager.io/docs/usage/certificate/

# api参考:https://cert-manager.io/docs/reference/api-docs/#cert-manager.io/v1alpha3.Certificate

apiVersion: cert-manager.io/v1

kind: Certificate

metadata:

  name: ca-example-com ###

  namespace: cert-manager ### 修改为cert-manager的namespace,以让ClusterIssuer的CA Issuer可以使用此证书

spec:

  # Secret names are always required.

  secretName: ca-example-com-tls ### Secret名字

  duration: 2160h # 90d

  renewBefore: 360h # 15d

  subject:

    organizations:

    - Example Inc. ###

  # The use of the common name field has been deprecated since 2000 and is

  # discouraged from being used.

  commonName: ca.example.com ###

  isCA: true ### 修改为true,isCA将将此证书标记为对证书签名有效。这会将cert sign自动添加到usages列表中。

  privateKey:

    algorithm: RSA

    encoding: PKCS1

    size: 2048

  #usages: ### 注释了usages,使用情况是证书要求的x509使用情况的集合。默认为digital signature,key encipherment如果未指定。

  #  - server auth

  #  - client auth

  # At least one of a DNS Name, URI, or IP address is required.

  dnsNames:

  - ca.example.com ###

  #uris: ### 注释了uris、ipAddresses

  #- spiffe://cluster.local/ns/sandbox/sa/example

  #ipAddresses:

  #- 192.168.0.5

  # Issuer references are always required.

  issuerRef:

    name: selfsigned-issuer ### 指定为自签名发行人

    # We can reference ClusterIssuers by changing the kind here.

    # The default value is Issuer (i.e. a locally namespaced Issuer)

    kind: Issuer

    # This is optional since cert-manager will default to this value however

    # if you are using an external issuer, change this to that issuer group.

    group: cert-manager.io
  • ###为相对于参考的修改项
  • 我们将要把CA Issuer创建为ClusterIssuer,因ClusterIssuer只能访问cert-manager下的Secret,所以这个CA Certificate创建在此名字空间下,其Secret也会被创建在此名字空间下。当然也可以更改ClusterIssuer默认可访问的名字空间,参考:https://cert-manager.io/docs/faq/cluster-resource/

3、创建CA发行者(ClusterIssuer)

# ca-issuer.clusterissuer.yaml

# 参考:https://cert-manager.io/docs/configuration/ca/

apiVersion: cert-manager.io/v1

kind: ClusterIssuer ### ClusterIssuer

metadata:

  name: ca-issuer

  namespace: cert-manager ### ClusterIssuer下namespace无效

spec:

  ca:

    secretName: ca-example-com-tls ###
  • ###为相对于参考的修改项
  • CA Issuer创建为ClusterIssuer,可为其他名字空间的Certificate发行证书

4、生成网站证书

# site-example-com.certificate.example-com.yaml

# 参考:https://cert-manager.io/docs/usage/certificate/

# api参考:https://cert-manager.io/docs/reference/api-docs/#cert-manager.io/v1alpha3.Certificate

apiVersion: cert-manager.io/v1

kind: Certificate

metadata:

  name: site-example-com ###

  namespace: example-com ### 站点所在名字空间

spec:

  # Secret names are always required.

  secretName: site-example-com-tls ### Secret名字

  duration: 2160h # 90d

  renewBefore: 360h # 15d

  subject:

    organizations:

    - Example Inc. ###

  # The use of the common name field has been deprecated since 2000 and is

  # discouraged from being used.

  commonName: site.example.com ###

  isCA: false

  privateKey:

    algorithm: RSA

    encoding: PKCS1

    size: 2048

  #usages: ### 注释了usages,使用情况是证书要求的x509使用情况的集合。默认为digital signature,key encipherment如果未指定。

  #  - server auth

  #  - client auth

  # At least one of a DNS Name, URI, or IP address is required.

  dnsNames:

  - site.example.com ###

  #uris: ### 注释了uris、ipAddresses

  #- spiffe://cluster.local/ns/sandbox/sa/example

  #ipAddresses:

  #- 192.168.0.5

  # Issuer references are always required.

  issuerRef:

    name: ca-issuer ### 使用CA Issuer

    # We can reference ClusterIssuers by changing the kind here.

    # The default value is Issuer (i.e. a locally namespaced Issuer)

    kind: ClusterIssuer ### CA Issuer是ClusterIssuer

    # This is optional since cert-manager will default to this value however

    # if you are using an external issuer, change this to that issuer group.

    group: cert-manager.io
  • ###为相对于参考的修改项

5、将网站证书配置到Ingress

# site-example-com.ingress.example-com.yaml

# 参考:https://kubernetes.io/zh/docs/concepts/services-networking/ingress/#tls

kind: Ingress

apiVersion: extensions/v1beta1

metadata:

  name: site-example-com

  namespace: example-com

  annotations:

    kubernetes.io/ingress.class: nginx

spec:

  tls:

    - hosts:

        - site.example.com

      secretName: site-example-com-tls

  rules:

    - host: site.example.com

      http:

        paths:

          - path: /

            pathType: ImplementationSpecific

            backend:

              serviceName: nginx

              servicePort: 80

6、将CA证书安装至本地

获取CA证书——ca-example-com-tls.secret.cert-manager里的tls.crt文件,拷贝至开发机器上,windows直接打开安装证书至受信任的根证书颁发机构

7、效果

cert-manager管理内网k8s开发环境证书的更多相关文章

  1. 使用IntelliJ IDEA和Maven管理搭建+Web+Tomcat开发环境

    使用IntelliJ IDEA和Maven管理搭建+Web+Tomcat开发环境 前言:原来一直使用Eclipse,换工作后使用IDEA,初识IDEA发现,哇,它的快捷键可真多啊,但是一路用下来,觉得 ...

  2. Centos下内网DNS主从环境部署记录

    一.DNS是什么?DNS(Domain Name System),即域名系统.它使用层次结构的命名系统,将域名和IP地址相互映射,形成一个分布式数据库系统. DNS采用C-S架构,服务器端工作在UDP ...

  3. docker集成管理工具-shipyard的开发环境搭建笔记

    前段时间一直在研究openstack,后来老师告诉我需要用docker容器来搭建hadoop集群,所以就将战场转移到docker上来了,话说docker最近这段时间太火了,但是说实话我觉得应用起来还不 ...

  4. k8s开发环境

    在搭建开发环境之前, 请Try Kubernetes,Get Started and CONCEPTS 可以自己使用minikube 来搭建个环境, 自己玩一玩. K8s需要一些依赖. 参看官方文档 ...

  5. 内网渗透----域环境搭建(server 2012)

    先确定两台服务器相通 1.配置静态IP与DNS 2.配置域服务 点击服务器管理器-添加角色和功能-下一步-添加AD域服务: 3.提升为域控制器 安装完成后,可在旗帜处选择提升为域控制器 添加新林 添加 ...

  6. 内网 LAN IPv6 环境配置 H3C S5500 Huawei S5700

    # 使能IPv6报文转发功能. <Sysname> system-view [Sysname] ipv6 # 使能DHCPv6服务器功能. <Sysname> system-v ...

  7. 内网渗透----域环境搭建(server 2008)

    域控制器 配置静态IP 安装域服务 点击服务器管理器-添加角色-下一步-添加AD域服务: 安装过后运行安装向导: 下一步后选择"在新林中新建域": 若提示密码不符合要求,则配置密码 ...

  8. EasyNVR内网摄像机接入网关+EasyNVS云端管理平台,组件起一套轻量级类似于企业级萤石云的解决方案

    背景分析 对于EasyNVR我们应该都了解,主要应用于互联安防直播,对于EasyNVR,我们可以清楚的发现,EasyNVR的工作机制是EasyNVR拉取摄像机的RTSP/Onvif视频流,然后客户端可 ...

  9. pipenv管理python开发环境

    简介 简单说,pipenv就是把pip和virtualenv包装起来的一个便携工具. 它不会在你的项目文件夹里生成一大堆东西,只有两个文本文件: Pipfile, 简明地显示项目环境和依赖包. Pip ...

随机推荐

  1. 2018noip游记

    2018noip游记 相隔一年多才想起可以弄一篇博客纪念一下我的首次比赛, 以现在的水平回望过去,发现很好玩很有纪念意义, 于是这篇博客诞生了 \(T1\) 当时的我刚学会什么是字符串,但仍然很不熟练 ...

  2. iptables基础原理和使用简介

    概念简介 名称 Netfilter/iptables模块有两部分组成: Netfilter框架以及iptables,iptables又分为iptables(内核空间)和iptables命令行工具(用户 ...

  3. Spring Cloud杜绝循环依赖

    前言 大家在开发中有没有遇到过因循环依赖导致项目启动失败?在排查循环依赖的过程中有没困难?如何避免写出循环依赖的代码? 我没写过循环依赖的代码,作为稳定性负责人,我排查过多次. 有些逻辑简单的代码,循 ...

  4. ubuntu18.04下stlink的一种安装方法

    安装前准备: 从软件包存储库中安装以下软件包: git gcc或clang或mingw32-gcc或mingw64-gcc(C编译器:很可能已经存在gcc) build-essential (在基于D ...

  5. ctf堆叠注入总结(持续更新)

    第一种 1';USE db_name;SET @sql=CONCAT('sql contents');PREPARE stmt_name FROM @sql;EXECUTE stmt_name; 第二 ...

  6. VMware虚拟机 - 解决 Vmware 启动虚拟机报:该虚拟机似乎正在使用中。 如果该虚拟机未在使用,请按“获取所有权(T)”按钮获取它的所有权。否则,请按“取消(C)”按钮以防损坏的问题

    问题背景 当虚拟机仍然在运行时,直接关闭电脑,下次重开电脑并想重新启动虚拟机时报了下图问题 解决方案 进入虚拟机所在目录,把 .lck 后缀的文件都删完 Vmware 重新启动虚拟机 成功!!

  7. [MIT6.006] 18. Speeding up Dijkstra 加速Dijkstra算法

    在之前的课我们讲过了Dijkstra算法,先回顾下,如下图: 那么如果加速DIjkstra算法寻找最短路径呢?这节课上讲师讲了两种方法:双向搜索(Bi-Directional Search)和目标方向 ...

  8. ngx ------ngx_cache_manager_process_cycle

    static void ngx_cache_manager_process_cycle(ngx_cycle_t *cycle, void *data) {----------------------- ...

  9. GDT,LDT,GDTR,LDTR (转 侵删)

    一.引入 保护模式下的段寄存器 由 16位的选择器 与 64位的段描述符寄存器 构成 段描述符寄存器: 存储段描述符 选择器:存储段描述符的索引 段寄存器(16位选择子,64为隐藏信息) 原先实模式下 ...

  10. ceph写osd的配置文件/etc/ceph/ceph.conf

    ceph在部署过程中是先进行部署,再去写配置文件的,而一些新手在部署完了后,并没有写配置文件,在重启服务器后,因为挂载点没有挂载,所以服务无法启动,所以需要写好配置文件 还有一种情况是集群有几百个os ...