参考

1. Traefik

1.1 TLS

# 针对 "traefik","cert" 名字必须是 "tls.crt", "key" 名字必须是 "tls.key","traefik-ingress-controller-xxxxx" pod 默认读取对应名字

# "-subj" 是可选项

mkdir -p ~/addon/traefik/pki

cd ~/addon/traefik/pki

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=netonline.com"

# "traefik" 应用默认部署在 "kube-system" ,在对应 "namespace" 创建 "secret" 资源

kubectl create secret generic traefik-cert --from-file=/root/addon/traefik/pki/tls.crt --from-file=/root/addon/traefik/pki/tls.key -n kube-system

1.2 ConfigMap

# 以下配置适用于全部采用 "https" 的场景,"http" 访问会被重定向为 "https"

# "traefik.toml" 需要与 "traefik-ingress-controller-xxxxx" pod 中的启动参数的文件名一致

# "insecureSkipVerify = true" ,此配置指定了 "traefik" 在访问 "https" 后端时可以忽略TLS证书验证错误,从而使得 "https" 的后端,可以像http后端一样直接通过 "traefik" 透出,如kubernetes dashboard

# "insecureSkipVerify = true" 变更配置需要重启 pod 才会生效

cat ~/addon/traefik/traefik.toml

insecureSkipVerify = true

defaultEntryPoints = ["http","https"]

[entryPoints]

  [entryPoints.http]

  address = ":80"

    [entryPoints.http.redirect]

    entryPoint = "https"

  [entryPoints.https]

  address = ":443"

    [entryPoints.https.tls]

      [[entryPoints.https.tls.certificates]]

      # 默认路径,勿修改

      certFile = "/ssl/tls.crt"

      keyFile = "/ssl/tls.key"

# 生成 "configmap" 资源

kubectl create configmap traefik-conf --from-file=/root/addon/traefik/traefik.toml -n kube-system

1.3 编辑 traefik-ds.yaml

# 挂载 "secret" 与 "configmap" 资源

# 添加 "https" 服务端口

# 添加 "traefik-ingress-controller-xxxxx" pod 启动参数

cat ~/addon/traefik/traefik-ds.yaml

---

apiVersion: v1

kind: ServiceAccount

metadata:

  name: traefik-ingress-controller

  namespace: kube-system

---

kind: DaemonSet

apiVersion: extensions/v1beta1

metadata:

  name: traefik-ingress-controller

  namespace: kube-system

  labels:

    k8s-app: traefik-ingress-lb

spec:

  template:

    metadata:

      labels:

        k8s-app: traefik-ingress-lb

        name: traefik-ingress-lb

    spec:

      serviceAccountName: traefik-ingress-controller

      terminationGracePeriodSeconds: 60

      # 挂载 "secret" 与 "configmap" 资源

      volumes:

      - name: ssl

        secret:

          secretName: traefik-cert

      - name: config

        configMap:

          name: traefik-conf

      containers:

      - image: traefik:v1.7.12

        name: traefik-ingress-lb

        # 设置挂载点

        volumeMounts:

        - mountPath: "/ssl"

          name: "ssl"

        - mountPath: "/config"

          name: "config"

        ports:

        - name: http

          containerPort: 80

          hostPort: 80

        # 添加应用端口

        - name: https

          containerPort: 443

          hostPort: 443

        - name: admin

          containerPort: 8080

          hostPort: 8080

        securityContext:

          capabilities:

            drop:

            - ALL

            add:

            - NET_BIND_SERVICE

        args:

        # 添加启动参数 "--configfile=/config/traefik.toml",注意路径与文件名与 "configmap" 的对应

        - --configfile=/config/traefik.toml

        - --api

        - --kubernetes

        - --logLevel=INFO

---

kind: Service

apiVersion: v1

metadata:

  name: traefik-ingress-service

  namespace: kube-system

spec:

  selector:

    k8s-app: traefik-ingress-lb

  ports:

    - protocol: TCP

      port: 80

      name: web

    # 添加服务端口

    - protocol: TCP

      port: 443

      name: https

    - protocol: TCP

      port: 8080

      name: admin

# 生成 "traefik" 应用

kubectl apply -f /root/addon/traefik/traefik-ds.yaml

2. Ingress

2.1 Ingress without TLS

# 针对已经设置完全重定向的 "traefik" ,"ingress" 资源可直接不带 "tls" 属性

cat ~/addon/traefik/ui.yaml

apiVersion: extensions/v1beta1

kind: Ingress

metadata:

  name: traefik-web-ui

  namespace: kube-system

spec:

  rules:

  - host: traefik.netonline.com

    http:

      paths:

      - path: /

        backend:

          serviceName: traefik-web-ui

          servicePort: web

2.2 Ingress with TLS

# 如果需要代理的应用不在 "kube-system" ,需要在对应 "namespace" 创建对应的 "secret",方便 "tls:secretName" 属性调用读取

kubectl create secret generic traefik-cert --from-file=/root/addon/traefik/pki/tls.crt --from-file=/root/addon/traefik/pki/tls.key -n default

# 附带 "tls:secretName" 属性的 "ingress" 资源示例

cat ~/addon/traefik/ui.yaml

apiVersion: extensions/v1beta1

kind: Ingress

metadata:

  name: traefik-web-ui

  namespace: kube-system

  annotations:

    kubernetes.io/ingress.class: traefik

spec:

  tls:

  - secretName: traefik-cert

  rules:

  - host: traefik.netonline.com

    http:

      paths:

      - backend:

          serviceName: traefik-web-ui

          servicePort: 80

Traefik HTTPS 配置的更多相关文章

  1. 烂泥:haproxy学习之https配置

    本文由ilanniweb提供友情赞助,首发于烂泥行天下 想要获得更多的文章,可以关注我的微信ilanniweb. 在前一段时间,我写了几篇有关学习haproxy的文章.今天我们再来介绍下haproxy ...

  2. haproxy学习之https配置

    haproxy学习之https配置   原文  http://www.cnblogs.com/ilanni/p/4941056.html   如何配置https,以及https在实际生产环境中的应用. ...

  3. Apache https 配置指南

    Windows Apache HTTPS配置创建下面3个目录: C:\Program Files\Apache Group\Apache2\conf\sslC:\Program Files\Apach ...

  4. nginx常用配置系列-HTTPS配置

    接上篇,nginx配置系列 HTTPS现在已经很流行,特别是AppStore上线的应用要求使用HTTPS进行通信,出于安全考虑也应该使用HTTPS,HTTPS配置需要准备证书文件,现在也有很多免费证书 ...

  5. Tomcat8配置Https协议,Tomcat配置Https安全访问,Tomcat Https配置

    Tomcat8配置Https协议,Tomcat配置Https安全访问,Tomcat Https配置 ============================== ©Copyright 蕃薯耀 2017 ...

  6. nginx普通配置/负载均衡配置/ssl/https配置

    1.nginx普通配置 server { listen ; server_name jqlin.lynch.com; access_log /var/log/nginx/main.log main; ...

  7. apache https配置【转】

    博文来源:apache https配置 参考博文:apache.nginx配置自签名证书 1.  确认是否安装ssl模块 是否有mod_ssl.so文件 2.  生成证书和密钥 linux下 步骤1: ...

  8. https进行配置以及http跳转到https配置

    https配置: nginx配置 server { listen 443; server_name localhost; ssl on; root html; index index.html ind ...

  9. SSL 原理及 https 配置

    目录 1. SSL 原理 1.1. SSL 简介 1.2. 主要概念 1.3. 建立安全连接的过程 2. https 配置 (以 nginx 为例) SSL 原理 SSL 简介 SSL (Secure ...

随机推荐

  1. [POJ2336]Ferry Loading II

    题目描述 Description Before bridges were common, ferries were used to transport cars across rivers. Rive ...

  2. wal2json Dockerfile

    以下是一个wal2json pg扩展的dockerfile,方便测试使用 dockerfile FROM postgres:11.2 AS build ENV VERSION 1_0 RUN buil ...

  3. 6-ESP8266 SDK开发基础入门篇--操作系统入门使用

    了解了8266的串口了,这一节咱就自己写程序,处理一下数据,如果接收到 0xaa 0x55 0x01  就控制指示灯亮 0xaa 0x55 0x00  就控制指示灯灭 注意哈,我是用的假设没有操作系统 ...

  4. 【2019.7.26 NOIP模拟赛 T1】数字查找(figure)(数学)

    推式子 我们设\(n=kp+w\),则: \[(kp+w)a^{kp+w}\equiv b(mod\ p)\] 将系数中的\(kp+w\)向\(p\)取模,指数中的\(kp+w\)根据欧拉定理向\(p ...

  5. 带有连接池的Http客户端工具类HttpClientUtil

    一.背景 业务开发中,经常会遇到通过http/https向下游服务发送请求.每次都要重复造轮子写HttpClient的逻辑,而且性能.功能参差不齐.这里分享一个高性能的.带连接池的通用Http客户端工 ...

  6. java 多行注释

    public class Sample { public static void main(String[] args) { // java compiler ignores the comment ...

  7. 【redis】分布式锁实现,与分布式定时任务

    如果你还不知道redis的基本命令与基本使用方法,请看 [redis]redis基础命令学习集合 写在前面 redis辣么多数据结构,这么多命令,具体一点,都可以应用在什么场景呢?用来解决什么具体的问 ...

  8. 基于 Docker 实现 DevOps 的一些探索

    DevOps 介绍 DevOps(Deveplopment 和 Operations 的简称),中译为开发运维一体化,可定义为是一种过程.方法.文化.运动或实践,主要是为了通过一条高度自动化的流水线来 ...

  9. 问题追查:QA压测工具http长连接总是被服务端close情况

    1. 背景 最近QA对线上单模块进行压测(非全链路压测),http客户端 与 thrift服务端的tcp链接总在一段时间被close. 查看服务端日志显示 i/o timeout. 最后的结果是: q ...

  10. Java SPI机制:ServiceLoader实现原理及应用剖析

    一.背景 SPI,全称Service Provider Interfaces,服务提供接口.是Java提供的一套供第三方实现或扩展使用的技术体系.主要通过解耦服务具体实现以及服务使用,使得程序的可扩展 ...