前言

Traefik是一个现代的HTTP反向代理和负载均衡器,使部署微服务变得容易。

Traefik可以与现有的多种基础设施组件(Docker、Swarm模式、Kubernetes、Marathon、Consul、Etcd、Rancher、Amazon ECS...)集成,并自动和动态地配置自己。

今天我们基于 Traefik on K8S 来详细说明如何对 TLS 安全进行「激进」配置。

环境基本信息

  1. K8S 集群;
  2. 域名:ewhisper.cn(由 DNSPod 进行 DNS 管理,已指向 K8S 集群的 Traefik Ingress 的 LoadBalancer 公网地址)
  3. 使用 cert-manager 自动管理的证书 *.ewhisper.cn 作为 Traefik 的默认证书;cert-manager 位于 cert-manager NameSpace 下
  4. Traefik 2.4.8 安装于 K8S 集群的 kube-system NameSpace 下,且使用 CRDs 进行配置。

「激进」的 TLS 配置

全站受信证书 + HTTPS。具体如下:

  1. 全站 HTTPS 443 端口配置;
  2. 证书来自 Let's Encrypt(由 cert-manager 自动申请)(激进,生产慎用!)
  3. 监听 HTTP 请求,并重定向到 HTTPS;(激进,生产慎用!)
  4. 启用 HSTS 功能(激进,生产慎用!)
  5. TLS 版本限定在 TLS 1.3(激进,生产慎用!)

配置实践

TLS 版本限定在 TLS 1.3

使用 Traefik 的 CRD - TLSOption 配置如下:

apiVersion: traefik.containo.us/v1alpha1

kind: TLSOption

metadata:

  name: default

  namespace: kube-system

spec:

  minVersion: VersionTLS13

说明

  • minVersion: VersionTLS13 指定 TLS 最小版本为 TLS 1.3.

Warning:

以防万一,建议 namespace: kube-system 和 Traefik 所在的 ns 保持一致。

证书

使用 Traefik 的 CRD - TLSStore 配置如下:

apiVersion: traefik.containo.us/v1alpha1

kind: TLSStore

metadata:

  name: default

  namespace: cert-manager

spec:

  defaultCertificate:

    secretName: ewhisper-crt-secret

说明

  • secretName: ewhisper-crt-secret 这个是 cert-manager 自动从 Let's Encrypt 申请到的证书的存放位置(cert-manager 会负责定期自动更新该证书)。Traefik 就使用该证书作为默认证书。

Warning:

TLSStore,注意 namespace: cert-manager 必须要在 证书的 secret 所在的 NameSpace。

接下来 2 个功能:

  1. HTTP 重定向到 HTTPS
  2. 启用 HSTS

都是通过 Traefik CRD - Middleware 来进行配置的。

HTTP 重定向到 HTTPS

Traefik CRD Middleware - redirectshttps 配置如下:

# Redirect to https

apiVersion: traefik.containo.us/v1alpha1

kind: Middleware

metadata:

  name: redirectshttps

  namespace: kube-system

spec:

  redirectScheme:

    scheme: https

    permanent: true

说明

  • redirectScheme: 协议重定向
  • scheme: https: HTTP 协议重定向为 HTTPS
  • permanent: true: 设置为 true 以应用永久重定向。

启用 HSTS

Traefik CRD Middleware - hsts-header 配置如下:

apiVersion: traefik.containo.us/v1alpha1

kind: Middleware

metadata:

  name: hsts-header

  namespace: kube-system

spec:

  headers:

    customResponseHeaders:

      Strict-Transport-Security: 'max-age=63072000'
  • customResponseHeaders 应用于响应头的名称和值。
  • Strict-Transport-Security: 'max-age=63072000': 即 「HTTP严格传输安全」响应头,收到该响应头的浏览器会在 63072000s(约 2 年)的时间内,只要访问该网站,即使输入的是 http,浏览器会自动跳转到 https。(HSTS 是浏览器端的跳转,之前的「HTTP 重定向到 HTTPS」是服务器端的跳转)

具体域名配置

以上的所有配置,包括:

  1. TLS 版本限定在 TLS 1.3
  2. 证书
  3. HTTP 重定向到 HTTPS
  4. 启用 HSTS

都是全局的配置,接下来针对具体的域名 - 这里是 example.ewhisper.cn 进行配置。

使用 Traefik 的 CRD - IngressRoute 配置如下:

apiVersion: traefik.containo.us/v1alpha1

kind: IngressRoute

metadata:

  name: example

  namespace: cert-manager

spec:

  entryPoints:

    - websecure

    - web

  routes:

    - match: Host(`example.ewhisper.cn`)

      kind: Rule

      middlewares:

        - name: hsts-header

          namespace: kube-system

        - name: redirectshttps

          namespace: kube-system

      services:

        - name: example

          namespace: default

          port: 8080

  tls: {}

说明

  • entryPoints: EntryPoints 是进入 Traefik 的网络入口点。它们定义将接收数据包的端口,以及是否侦听 TCP 或 UDP。如下图所示:



    这里 entryPoints 是静态配置,是直接静态配置在 Traefik Deployment 中的,如下图:

    • entryPoint - traefik 地址端口是::9000/tcp
    • entryPoint - web 地址端口是::8000/tcp
    • entryPoint - websecure 地址端口是::8443/tcp,且 tls 为 true
    • 然后,再通过 Serivce Type: LoadBalancer 暴露到公网的: 80 和 443 端口(至于entryPoint - traefik 则还没有通过 SVC 暴露,所以即使配了 IngressRoute 也无法访问),如下:

  • websecure 即:example.ewhisper.cn 可以通过 https://example.ewhisper.cn:443 访问;

  • web 即:example.ewhisper.cn 可以通过 http://example.ewhisper.cn:80 访问;

  • kind: Rule Rule 是一组配置了值的匹配器(即 match),它决定一个特定的请求是否匹配特定的条件。如果规则经过验证,Route 就会成为活动的,调用中间件,然后将请求转发给服务。

  • match: Host(`example.ewhisper.cn`): 这里是检查请求域名(host 报头值)是否以给定域之一(即example.ewhisper.cn)为目标。

  • middlewares: 连接到 Route 的中间件是在请求被发送到你的服务之前(或者在服务的回答被发送到客户端之前)对请求进行调整的一种方法。 在trafik中有几种可用的中间件,一些可以修改请求、报头,一些负责重定向,一些添加身份验证,等等。 使用相同协议的中间件可以组合成链,以适应每个场景。中间件作用如下图所示:

  • name: hsts-header 启用 HSTS 的中间件(可以复用)

  • name: redirectshttps 启用 HTTP 重定向到 HTTPS 的中间件(可以复用)

  • services... 转发到 K8S default NameSpace 下的 example Service 的 8080 端口。

配置生效

假设以上配置都放在 ./traefik-sec 目录下,执行如下命令生效:

kubectl apply -f ./traefik-sec

验证

浏览器访问

直接浏览器访问 http://example.ewhisper.cn 域名,跳转到 http://example.ewhisper.cn, 并且证书已生效。

HTTP 重定向到 HTTPS 已生效

通过 SSL Labs 验证

SSL Labs 的 SSL Server Test 下进行验证。验证结果如下:



评分为 A,且 HSTS 已启用



证书为 *.ewhisper.cn 合法证书



TLS 协议只支持 TLS 1.3

参考资料

三人行, 必有我师; 知识共享, 天下为公. 本文由东风微鸣技术博客 EWhisper.cn 编写.

基于 Traefik 的激进 TLS 安全配置实践的更多相关文章

  1. 基于openresty的https配置实践

    最近机器人项目的子项目,由于和BAT中的一家进行合作,人家要求用HTTPS连接,于是乎,我们要改造我们的nginx的配置,加添HTTPS的支持. 当然了,HTTPS需要的证书,必须是认证机构颁发的,这 ...

  2. 【转】Flume(NG)架构设计要点及配置实践

    Flume(NG)架构设计要点及配置实践   Flume NG是一个分布式.可靠.可用的系统,它能够将不同数据源的海量日志数据进行高效收集.聚合.移动,最后存储到一个中心化数据存储系统中.由原来的Fl ...

  3. 基于nginx+lua+redis高性能api应用实践

    基于nginx+lua+redis高性能api应用实践 前言 比较传统的服务端程序(PHP.FAST CGI等),大多都是通过每产生一个请求,都会有一个进程与之相对应,请求处理完毕后相关进程自动释放. ...

  4. 基于Armitage的MSF自动化集成攻击实践

    基于Armitage的MSF自动化集成攻击实践 目录 0x01 实践环境 0x02 预备知识 0x03 Armitage基础配置 0x04 Nmap:Armitage下信息搜集与漏洞扫描 0x05 A ...

  5. QCon技术干货:个推基于Docker和Kubernetes的微服务实践

    2016年伊始,Docker无比兴盛,如今Kubernetes万人瞩目.在这个无比需要创新与速度的时代,由容器.微服务.DevOps构成的云原生席卷整个IT界.在近期举办的QCon全球软件开发大会上, ...

  6. 基于 Spring Cloud 的微服务架构实践指南(下)

    show me the code and talk to me,做的出来更要说的明白 本文源码,请点击learnSpringCloud 我是布尔bl,你的支持是我分享的动力! 一.引入 上回 基于 S ...

  7. 字节跳动流式数据集成基于Flink Checkpoint两阶段提交的实践和优化

    背景 字节跳动开发套件数据集成团队(DTS ,Data Transmission Service)在字节跳动内基于 Flink 实现了流批一体的数据集成服务.其中一个典型场景是 Kafka/ByteM ...

  8. 基于 Apache Hudi 极致查询优化的探索实践

    摘要:本文主要介绍 Presto 如何更好的利用 Hudi 的数据布局.索引信息来加速点查性能. 本文分享自华为云社区<华为云基于 Apache Hudi 极致查询优化的探索实践!>,作者 ...

  9. 基于xml的Spring多数据源配置和使用

    上一篇讲了<基于注解的Spring多数据源配置和使用>,通过在类或者方法上添加@DataSource注解就可以指定某个数据源.这种方式的优点是控制粒度细,也更灵活. 但是当有些时候项目分模 ...

  10. 基于注解的Spring AOP的配置和使用

    摘要: 基于注解的Spring AOP的配置和使用 AOP是OOP的延续,是Aspect Oriented Programming的缩写,意思是面向切面编程.可以通过预编译方式和运行期动态代理实现在不 ...

随机推荐

  1. Tubian-Win上线!Tubian官方的Windows软件适配项目

    Sourceforge.net下载:https://sourceforge.net/projects/tubian/ 123网盘下载: https://www.123pan.com/s/XjkKVv- ...

  2. 洛谷P1438 无聊的数列 (线段树+差分)

    变了个花样,在l~r区间加上一个等差数列,等差数列的显著特点就是公差d,我们容易想到用线段树维护差分数组,在l位置加上k,在l+1~r位置加上d,最后在r+1位置减去k+(l-r)*d,这样就是在差分 ...

  3. Vue学习之--------深入理解Vuex之多组件共享数据(2022/9/4)

    在上篇文章的基础上:Vue学习之--------深入理解Vuex之getters.mapState.mapGetters 1.在state中新增用户数组 2.新增Person.vue组件 提示:这里使 ...

  4. Vue学习之--------深入理解Vuex、原理详解、实战应用(2022/9/1)

    @ 目录 1.概念 2.何时使用? 3.搭建vuex环境 3.1 创建文件:src/store/index.js 3.2 在main.js中创建vm时传入store配置项 4.基本使用 4.1.初始化 ...

  5. springboot+thymeleaf+bootstrap 超级无敌简洁的页面展示 商城管理页面

    页面效果: <!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org&quo ...

  6. Go | 讲解GOROOT、GOPATH、GOBIN

    前言 Go(又称 Golang)是 Google 开发的一种静态强类型.编译型.并发型,并具有垃圾回收功能的编程语言.Go 被誉为是未来的服务器端编程语言. Go是一门全新的静态类型开发语言,具有自动 ...

  7. 1.Django-Rest-Framework入门规范

    一.WEB应用模式   1.前后端不分离 前后端混合开发(前后端不分离),返回的是html的内容,需要渲染页面,写模版 2.前后端分离 专注于后端接口,返回json.xml格式的数据     二.AP ...

  8. 关于引用JS和CSS文件刷新浏览器缓存问题,部署服务器后客户端样式不刷新

    问题描述 对样式的css文件进行了修改,部署到服务器后访问发现页面展示不正常,但是刷新之后就会展示正常. 问题分析 研究之后发现可能的原因有 css文件过大,加载缓慢 本地缓存问题,虽然服务器修改了c ...

  9. 三、Python语法介绍

    三.Python语言介绍 3.1.了解Python语言 Python 是1989 年荷兰人 Guido van Rossum (简称 Guido)在圣诞节期间为了打发时间,发明的一门面向对象的解释性编 ...

  10. ATT&CK框架整理(中英文整理)

    工作需要了解了一下ATT&CK框架,留个记录.