目的

内网k8s开发环境配置HTTPS,保持与生产环境的配置的一致性,其必要性有:

  • PWA开发,HTTPS是必要条件
  • 网页引入HTTP资源,如果开发环境是HTTP就不会被开发和测试人员发现,造成生产环境故障
  • HTTP/2,与HTTP相差太大,必须保持环境一致

cert-manager介绍

cert-manager是Kubernetes的附加组件,用于自动管理和颁发各种发行来源的TLS证书。它将确保证书有效并定期更新,并尝试在到期前的适当时间更新证书。

方法

开发环境在内网,做不了域名验证,无法使用Let's Encrypt颁发和自动更新证书,所以采用自签名CA证书+由此CA颁发证书的方式。

  1. 创建自签名发行者
  2. 生成CA证书
  3. 创建CA发行者(ClusterIssuer)
  4. 生成网站证书
  5. 将网站证书配置到Ingress

实施

前提:

  • Kubernetes环境
  • 开发机器已配置hosts,域名site.example.com指向Ingress对外ip
  • 站点已部署至k8s,Ingress开NodePort端口http30080、https30443,即现在可通过http://site.example.com:30080访问到nginx站点

1、创建自签名发行者

# selfsigned-issuer.issuer.yaml

# 参考:https://cert-manager.io/docs/configuration/selfsigned/

apiVersion: cert-manager.io/v1

kind: Issuer

metadata:

  name: selfsigned-issuer

  namespace: cert-manager

spec:

  selfSigned: {}

2、生成CA证书

# ca-example-com.certificate.cert-manager.yaml

# 参考:https://cert-manager.io/docs/usage/certificate/

# api参考:https://cert-manager.io/docs/reference/api-docs/#cert-manager.io/v1alpha3.Certificate

apiVersion: cert-manager.io/v1

kind: Certificate

metadata:

  name: ca-example-com ###

  namespace: cert-manager ### 修改为cert-manager的namespace,以让ClusterIssuer的CA Issuer可以使用此证书

spec:

  # Secret names are always required.

  secretName: ca-example-com-tls ### Secret名字

  duration: 2160h # 90d

  renewBefore: 360h # 15d

  subject:

    organizations:

    - Example Inc. ###

  # The use of the common name field has been deprecated since 2000 and is

  # discouraged from being used.

  commonName: ca.example.com ###

  isCA: true ### 修改为true,isCA将将此证书标记为对证书签名有效。这会将cert sign自动添加到usages列表中。

  privateKey:

    algorithm: RSA

    encoding: PKCS1

    size: 2048

  #usages: ### 注释了usages,使用情况是证书要求的x509使用情况的集合。默认为digital signature,key encipherment如果未指定。

  #  - server auth

  #  - client auth

  # At least one of a DNS Name, URI, or IP address is required.

  dnsNames:

  - ca.example.com ###

  #uris: ### 注释了uris、ipAddresses

  #- spiffe://cluster.local/ns/sandbox/sa/example

  #ipAddresses:

  #- 192.168.0.5

  # Issuer references are always required.

  issuerRef:

    name: selfsigned-issuer ### 指定为自签名发行人

    # We can reference ClusterIssuers by changing the kind here.

    # The default value is Issuer (i.e. a locally namespaced Issuer)

    kind: Issuer

    # This is optional since cert-manager will default to this value however

    # if you are using an external issuer, change this to that issuer group.

    group: cert-manager.io
  • ###为相对于参考的修改项
  • 我们将要把CA Issuer创建为ClusterIssuer,因ClusterIssuer只能访问cert-manager下的Secret,所以这个CA Certificate创建在此名字空间下,其Secret也会被创建在此名字空间下。当然也可以更改ClusterIssuer默认可访问的名字空间,参考:https://cert-manager.io/docs/faq/cluster-resource/

3、创建CA发行者(ClusterIssuer)

# ca-issuer.clusterissuer.yaml

# 参考:https://cert-manager.io/docs/configuration/ca/

apiVersion: cert-manager.io/v1

kind: ClusterIssuer ### ClusterIssuer

metadata:

  name: ca-issuer

  namespace: cert-manager ### ClusterIssuer下namespace无效

spec:

  ca:

    secretName: ca-example-com-tls ###
  • ###为相对于参考的修改项
  • CA Issuer创建为ClusterIssuer,可为其他名字空间的Certificate发行证书

4、生成网站证书

# site-example-com.certificate.example-com.yaml

# 参考:https://cert-manager.io/docs/usage/certificate/

# api参考:https://cert-manager.io/docs/reference/api-docs/#cert-manager.io/v1alpha3.Certificate

apiVersion: cert-manager.io/v1

kind: Certificate

metadata:

  name: site-example-com ###

  namespace: example-com ### 站点所在名字空间

spec:

  # Secret names are always required.

  secretName: site-example-com-tls ### Secret名字

  duration: 2160h # 90d

  renewBefore: 360h # 15d

  subject:

    organizations:

    - Example Inc. ###

  # The use of the common name field has been deprecated since 2000 and is

  # discouraged from being used.

  commonName: site.example.com ###

  isCA: false

  privateKey:

    algorithm: RSA

    encoding: PKCS1

    size: 2048

  #usages: ### 注释了usages,使用情况是证书要求的x509使用情况的集合。默认为digital signature,key encipherment如果未指定。

  #  - server auth

  #  - client auth

  # At least one of a DNS Name, URI, or IP address is required.

  dnsNames:

  - site.example.com ###

  #uris: ### 注释了uris、ipAddresses

  #- spiffe://cluster.local/ns/sandbox/sa/example

  #ipAddresses:

  #- 192.168.0.5

  # Issuer references are always required.

  issuerRef:

    name: ca-issuer ### 使用CA Issuer

    # We can reference ClusterIssuers by changing the kind here.

    # The default value is Issuer (i.e. a locally namespaced Issuer)

    kind: ClusterIssuer ### CA Issuer是ClusterIssuer

    # This is optional since cert-manager will default to this value however

    # if you are using an external issuer, change this to that issuer group.

    group: cert-manager.io
  • ###为相对于参考的修改项

5、将网站证书配置到Ingress

# site-example-com.ingress.example-com.yaml

# 参考:https://kubernetes.io/zh/docs/concepts/services-networking/ingress/#tls

kind: Ingress

apiVersion: extensions/v1beta1

metadata:

  name: site-example-com

  namespace: example-com

  annotations:

    kubernetes.io/ingress.class: nginx

spec:

  tls:

    - hosts:

        - site.example.com

      secretName: site-example-com-tls

  rules:

    - host: site.example.com

      http:

        paths:

          - path: /

            pathType: ImplementationSpecific

            backend:

              serviceName: nginx

              servicePort: 80

6、将CA证书安装至本地

获取CA证书——ca-example-com-tls.secret.cert-manager里的tls.crt文件,拷贝至开发机器上,windows直接打开安装证书至受信任的根证书颁发机构

7、效果

cert-manager管理内网k8s开发环境证书的更多相关文章

  1. 使用IntelliJ IDEA和Maven管理搭建+Web+Tomcat开发环境

    使用IntelliJ IDEA和Maven管理搭建+Web+Tomcat开发环境 前言:原来一直使用Eclipse,换工作后使用IDEA,初识IDEA发现,哇,它的快捷键可真多啊,但是一路用下来,觉得 ...

  2. Centos下内网DNS主从环境部署记录

    一.DNS是什么?DNS(Domain Name System),即域名系统.它使用层次结构的命名系统,将域名和IP地址相互映射,形成一个分布式数据库系统. DNS采用C-S架构,服务器端工作在UDP ...

  3. docker集成管理工具-shipyard的开发环境搭建笔记

    前段时间一直在研究openstack,后来老师告诉我需要用docker容器来搭建hadoop集群,所以就将战场转移到docker上来了,话说docker最近这段时间太火了,但是说实话我觉得应用起来还不 ...

  4. k8s开发环境

    在搭建开发环境之前, 请Try Kubernetes,Get Started and CONCEPTS 可以自己使用minikube 来搭建个环境, 自己玩一玩. K8s需要一些依赖. 参看官方文档 ...

  5. 内网渗透----域环境搭建(server 2012)

    先确定两台服务器相通 1.配置静态IP与DNS 2.配置域服务 点击服务器管理器-添加角色和功能-下一步-添加AD域服务: 3.提升为域控制器 安装完成后,可在旗帜处选择提升为域控制器 添加新林 添加 ...

  6. 内网 LAN IPv6 环境配置 H3C S5500 Huawei S5700

    # 使能IPv6报文转发功能. <Sysname> system-view [Sysname] ipv6 # 使能DHCPv6服务器功能. <Sysname> system-v ...

  7. 内网渗透----域环境搭建(server 2008)

    域控制器 配置静态IP 安装域服务 点击服务器管理器-添加角色-下一步-添加AD域服务: 安装过后运行安装向导: 下一步后选择"在新林中新建域": 若提示密码不符合要求,则配置密码 ...

  8. EasyNVR内网摄像机接入网关+EasyNVS云端管理平台,组件起一套轻量级类似于企业级萤石云的解决方案

    背景分析 对于EasyNVR我们应该都了解,主要应用于互联安防直播,对于EasyNVR,我们可以清楚的发现,EasyNVR的工作机制是EasyNVR拉取摄像机的RTSP/Onvif视频流,然后客户端可 ...

  9. pipenv管理python开发环境

    简介 简单说,pipenv就是把pip和virtualenv包装起来的一个便携工具. 它不会在你的项目文件夹里生成一大堆东西,只有两个文本文件: Pipfile, 简明地显示项目环境和依赖包. Pip ...

随机推荐

  1. 深入web workers (上)

    前段时间,为了优化某个有点复杂的功能,我采用了shared workers + indexDB,构建了一个高性能的多页面共享的服务.由于是第一次真正意义上的运用workers,比以前单纯的学习有更多体 ...

  2. c语言博客作业——顺序结构,分支结构

    1.PTA截图 2.本章学习总结 2.1学习内容总结 数据的输入和输出:%d表示输入输出整数 %.lf表示输入浮点数 %.nf表示输出结果保留n位小数 if-else的分支结构可以有限个分类情况进行处 ...

  3. python爬虫10 b站爬取使用 selenium+ phantomJS

    但有时候 我们不想要让它打开浏览器去执行 能不能直接在代码里面运行呢 也就是说 有没有一个无形的浏览器呢 恩 phantomJS 就是 它是一个基于 WebKit 的浏览器引擎 可以做到无声无息的操作 ...

  4. ado.net 连接数据库

    一.用SqlConnection连接SQL Server 1..加入命名空间 using System.Data.SqlClient; 2.连接数据库 SqlConnection myConnecti ...

  5. 深入浅出 webpack 之基础配置篇

    前言 前端工程化经历过很多优秀的工具,例如 Grunt.Gulp.webpack.rollup 等等,每种工具都有自己适用的场景,而现今应用最为广泛的当属 webpack 打包了,因此学习好 webp ...

  6. C# + Matlab 实现计件工时基于三层BP神经网络的拟合--真实项目

    工序工时由该工序的工艺参数决定,有了工时后乘以固定因子就是计件工资.一般参考本地小时工资以及同类小时工资并考虑作业的风险等因素给出固定因子 采用的VS2010 , Matlab2015a 64,  开 ...

  7. JAVA基础之接口与内部类

    接口与内部类 目录 接口与内部类 1. Lambda表达式 1. 关于懒计算 2. Predicate接口 3. 关于方法引用 4. 关于构造器引用 5. 关于变量的作用域 2. 内部类 1. 局部内 ...

  8. http 代理阅读1

    代理模式数据流处理: //配置proxy_pass后,在 ngx_http_core_content_phase 里面指向该函数 /* 那么,当有请求访问到特定的location的时候(假设这个loc ...

  9. CSP-S 2020 Travels

    CSP-S 2020 Travels DAY 0 I hit the board in the morning before departure The rest of the time is dec ...

  10. uboot——初始化阶段

    start.S |-------------设置cpu状态 |--------------开cache |--------------获得启动方式 |------------------------- ...