Apache APISIX Ingress Controller 是一款以 Apache APISIX 作为数据面的 Kubernetes Ingress Controller 开源工具,目前已经更新到 v1.3 版本,实现了如证书管理、负载均衡、金丝雀发布等功能。

长久以来,证书管理都不是一件简单的事情,虽然 Apache APISIX Ingress Controller 支持从 Kubernetes Secrets 资源中提取证书和私钥,并转换为 Apache APISIX 可识别的 SSL 对象,但这只是整个证书管理链中的一部分,证书的颁发、轮转、吊销逻辑依然需要管理员执行,尤其当证书数量比较多时,工作量往往并不小,因而会占用管理员不少的时间。

Cert Manager 是一款致力于在 Kubernetes 平台上简化证书管理的软件,它支持对接许多不同的证书源,如 Let's EncryptHashiCorp Vault

如果你在使用 Apache APISIX Ingress Controller 时,遇到了证书管理的麻烦,那么使用 Cert Manager 将会是一个不错的选择,本文将介绍如何通过 Cert Manager 来创建证书并对接到 Apache APISIX Ingress Controller。

步骤一:环境准备

如果你希望按照本文的指导进行实际的操作,请确保以下环境和工具已准备就绪:

  1. 准备一个可用的 Kubernetes 集群,开发环境中,你可以使用 KindMinikube
  2. 安装 kubectl
  3. 安装 Helm v3

请注意,下文所有的操作都将在 ingress-apisix 命名空间中执行,因此需要先创建该命名空间:kubectl create namespace ingress-apisix

步骤二:安装 Apache APISIX Ingress Controller

我们可以通过 Helm 来安装 Apache APISIX Ingress Controller,包括数据面的 Apache APISIX 和 etcd 集群。

helm repo add apisix https://charts.apiseven.com

helm repo update

helm install apisix apisix/apisix --set gateway.tls.enabled=true --set ingress-controller.enabled=true --namespace ingress-apisix

点击查看详细安装介绍

步骤三:安装 Cert Manager

通过 Helm 来安装 Cert Manager,点击可查看详细安装介绍

helm install cert-manager jetstack/cert-manager --namespace ingress-apisix  --set prometheus.enabled=false --set installCRDs=true

安装完毕后请等待一会后查看组件的运行状态,确保所有组件都已正常运行,你可以通过如下命令进行查看。

kubectl get all -n ingress-apisix

返回结果如下所示,表示所有组件都已正常运行。

NAME                                             READY   STATUS        RESTARTS   AGE

pod/apisix-5d99956d88-j68sj                      1/1     Running       0          63s

pod/apisix-69459554d4-btnwn                      0/1     Terminating   0          57m

pod/apisix-etcd-0                                1/1     Running       0          57m

pod/apisix-etcd-1                                1/1     Running       0          57m

pod/apisix-etcd-2                                0/1     Running       0          50s

pod/apisix-ingress-controller-7b5c767cc7-j62hb   1/1     Running       0          55m

pod/cert-manager-5ffd4f6c89-q9f7m                1/1     Running       0          45m

pod/cert-manager-cainjector-748dc889c5-nrvkh     1/1     Running       0          45m

pod/cert-manager-startupapicheck-kmgxf           0/1     Completed     0          45m

pod/cert-manager-webhook-bc964d98b-mkjj7         1/1     Running       0          45m

NAME                                TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)                      AGE

service/apisix-admin                ClusterIP   10.96.16.25     <none>        9180/TCP                     57m

service/apisix-etcd                 ClusterIP   10.96.232.251   <none>        2379/TCP,2380/TCP            57m

service/apisix-etcd-headless        ClusterIP   None            <none>        2379/TCP,2380/TCP            57m

service/apisix-gateway              NodePort    10.96.118.75    <none>        80:32039/TCP,443:30107/TCP   57m

service/apisix-ingress-controller   ClusterIP   10.96.13.76     <none>        80/TCP                       57m

service/cert-manager-webhook        ClusterIP   10.96.182.188   <none>        443/TCP                      45m

NAME                                        READY   UP-TO-DATE   AVAILABLE   AGE

deployment.apps/apisix                      1/1     1            1           57m

deployment.apps/apisix-ingress-controller   1/1     1            1           57m

deployment.apps/cert-manager                1/1     1            1           45m

deployment.apps/cert-manager-cainjector     1/1     1            1           45m

deployment.apps/cert-manager-webhook        1/1     1            1           45m

NAME                                                   DESIRED   CURRENT   READY   AGE

replicaset.apps/apisix-5d99956d88                      1         1         1       63s

replicaset.apps/apisix-69459554d4                      0         0         0       57m

replicaset.apps/apisix-ingress-controller-74c6b5fbdd   0         0         0       57m

replicaset.apps/apisix-ingress-controller-7b5c767cc7   1         1         1       55m

replicaset.apps/apisix-ingress-controller-7d58db957c   0         0         0       55m

replicaset.apps/cert-manager-5ffd4f6c89                1         1         1       45m

replicaset.apps/cert-manager-cainjector-748dc889c5     1         1         1       45m

replicaset.apps/cert-manager-webhook-bc964d98b         1         1         1       45m

NAME                           READY   AGE

statefulset.apps/apisix-etcd   2/3     57m

NAME                                     COMPLETIONS   DURATION   AGE

job.batch/cert-manager-startupapicheck   1/1           6m24s      45m

Kubernetes Controller Manager 的机制决定了 Pod 名称会有所不同。

步骤四:申请证书并测试

首先我们需要配置证书颁发对象。

# issuer.yaml

apiVersion: cert-manager.io/v1

kind: Issuer

metadata:

  name: issuer

  namespace: ingress-apisix

spec:

  selfSigned: {}

并创建自签名证书颁发者。

kubectl apply -f issuer.yaml

请注意,自签名颁发对象不推荐使用在生产环境中!更多证书颁发对象的配置请参考这里

然后为域名 httpbin.org 创建一张证书。

# httpbin-cert.yaml

apiVersion: cert-manager.io/v1

kind: Certificate

metadata:

  name: httpbin

  namespace: ingress-apisix

spec:

  secretName: httpbin

  duration: 2160h # 90d

  renewBefore: 360h # 15d

  subject:

    organizations:

      - foo

  commonName: httpbin.org

  isCA: false

  privateKey:

    algorithm: RSA

    encoding: PKCS1

    size: 2048

  usages:

    - server auth

  dnsNames:

    - "httpbin.org"

    - "*.httpbin.org"

  issuerRef:

    name: issuer

    kind: Issuer

    group: cert-manager.io

kubectl apply -f httpbin-cert.yaml

此时需要查看对应 Secrets 是否已经被创建。

kubectl get secrets -n ingress-apisix httpbin

NAME      TYPE                DATA   AGE

httpbin   kubernetes.io/tls   3      2m5s

通过上述验证,该 Secrets 对象的创建事件已经被 Apache APISIX Ingress Controller 捕获到,我们尝试访问 Apache APISIX Ingress Controller 来验证证书是否生效,首先我们需要创建额外的路由对象。

# 创建后端

kubectl run httpbin --image kennethreitz/httpbin --namespace ingress-apisix

kubectl expose pod httpbin -n ingress-apisix --port 80

# 定义 ApisixTls 对象

apiVersion: apisix.apache.org/v1

kind: ApisixTls

metadata:

  name: httpbin

  namespace: ingress-apisix

spec:

  hosts:

  - httpbin.org

  secret:

    name: httpbin

    namespace: ingress-apisix

---

# 定义访问后端的路由

apiVersion: apisix.apache.org/v2beta1

kind: ApisixRoute

metadata:

  name: httpbin

  namespace: ingress-apisix

spec:

  http:

  - name: httpbin

    match:

      paths:

      - /*

      hosts:

      - httpbin.org

    backends:

    - serviceName: httpbin

      servicePort: 80

接下来访问服务 apisix-gateway。注意,默认情况下该服务的类型为 NodePort,你可以根据需要修改其类型,比如你的 Kubernetes 集群是云厂商托管的,则可以考虑将其修改为 LoadBalancer 类型,以获取一个外部可达的 IP。

这里我们通过端口转发的方式将服务映射到本地。

kubectl port-forward -n ingress-apisix svc/apisix-gateway 8443:443

然后开始配置访问。

curl https://httpbin.org:8443/json --resolve 'httpbin.org:8443:127.0.0.1' -sk

{

  "slideshow": {

    "author": "Yours Truly",

    "date": "date of publication",

    "slides": [

      {

        "title": "Wake up to WonderWidgets!",

        "type": "all"

      },

      {

        "items": [

          "Why <em>WonderWidgets</em> are great",

          "Who <em>buys</em> WonderWidgets"

        ],

        "title": "Overview",

        "type": "all"

      }

    ],

    "title": "Sample Slide Show"

  }

}

经过上述操作,可以看到访问成功,说明证书已经生效。注意,由于证书是自签名的,这里需要加上 -k 选项来忽略证书的校验。

此外,如果你想要轮转证书,删除 httpbin 这一 Secret 对象即可,Cert Manager 会立刻创建一个新的 httpbin Secret 对象,并且包含新的证书。

总结

本文主要讲解了如何利用 Cert Manager 在 Apache APISIX Ingress Controller 中进行证书的创建和管理。想了解更多关于 Apache APISIX Ingress 的介绍与内容,可参考本篇文章 或者参与 Apache APISIX Ingress 项目每两周举行的线上讨论,分享当下项目进度、最佳实践及设计思路等多个话题,可查看具体 issue 了解更多。

APISIX Ingress 如何使用 Cert Manager 管理证书的更多相关文章

  1. Cert Manager 申请 SSL 证书流程及相关概念 - 一

    2022.3.9 用 cert-manager 申请成功通配符证书 (*.ewhisper.cn), 2022.4.30 该证书距离过期还有 30 天,cert-manager 进行自动续期,但是却失 ...

  2. 自动签发https证书工具 cert manager

    最近cert manager进行升级,不再支持0.11以下的版本了,所以进行升级.但是发现不能直接通过更改镜像版本来升级,在Apps里的版本也是旧版本,部署后发现不支持,于是自已动手,根据文档整理了一 ...

  3. 利用openssl管理证书及SSL编程第1部分: openssl证书管理

    利用openssl管理证书及SSL编程第1部分 参考:1) 利用openssl创建一个简单的CAhttp://www.cppblog.com/flyonok/archive/2010/10/30/13 ...

  4. 部署一个支持Dapr 的Kubernetes APISIX Ingress

    在这篇文章中,我将展示如何创建一个 APISIX控制器,该控制器在 Kubernetes 集群中公开启用 Dapr 的应用程序. 本质上,APISIX控制器将配置相同的标准 Dapr annotati ...

  5. 使用 Nocalhost 开发 Kubernetes 中的 APISIX Ingress Controller

    本文作者:黄鑫鑫 - Nocalhost 项目核心开发者 腾讯云 CODING DevOps 研发工程师.硕士毕业于中山大学数据科学与计算机学院,曾负责过平安云主机及国家超算中心容器云平台等相关业务, ...

  6. 使用 WSO2 API Manager 管理 Rest API

    WSO2 API Manager 简介 随着软件工程的增多,越来越多的软件提供各种不同格式.不同定义的 Rest API 作为资源共享,而由于这些 API 资源的异构性,很难对其进行复用.WSO2 A ...

  7. Tomcat使用Memcached Session Manager管理Session

    Tomcat使用Memcached Session Manager管理Session 废话不多说,直接进入主题.项目使用阿里云负载均衡+ECS服务器集群进行部署,Tomcat使用8.5版本.阿里云负载 ...

  8. 利用openssl管理证书及SSL编程第2部分:在Windows上编译 openssl

    利用openssl管理证书及SSL编程第2部分:在Windows上编译 openssl 首先mingw的环境搭建,务必遵循下文: http://blog.csdn.net/ubuntu64fan/ar ...

  9. Tomcat 8默认工具manager管理页面访问配置

    Tomcat 8默认工具manager管理页面访问配置 1. 分配相关的角色权限 需要配置的配置文件是${catalina.home}/conf/tomcat-users.xml先给Tomcat访问相 ...

  10. Tomcat默认工具manager管理页面访问配置

    Tomcat的默认工具manager配置,在很多的生产环境中由于基本用不到.或者是不太需要使用Tomcat默认的manager管理页面时一般都会把Tomcat的默认webapp下的内容给删除了,但是如 ...

随机推荐

  1. 关于uniapp图片默认的空隙处理方案

    display:block; 或者 display:flex;

  2. 鸣人的影分身【按照前i个数,最小数是不是0,建立转移方程】

    鸣人的影分身 题意 鸣人最多有n个分身,m的能量.分身的能量可以为0. 问有多少种方案数. 思路 很容易定义状态:f[i] [j]: 前i个分身,共花费能量j的方案数. 状态转移:刚开始想的枚举第i个 ...

  3. MySQL count(*) 和 count(字段) 区别

    count(字段)不会取Null的 select count(*) from test01                7条 select count(0) from test01          ...

  4. vue 调用 js 获取的今日、本周、本月、本年起始和结束日期

    一.得到今天.昨天.明天日期 function getDate(dates) { var dd = new Date(); var n = dates || 0; dd.setDate(dd.getD ...

  5. 爬快手,graphql查询语言

    graphql查询语言:https://blog.csdn.net/qq_41882147/article/details/82966783 即:前端调用同一个接口传入不同的操作,得到不同的返回值 一 ...

  6. SQL字符匹配

    一般形式 列名 [not] like 'str' 匹配串可以是以下四种通配符: 单下划线 _:匹配任意一个字符: %:匹配0个或多个字符: [ ]:匹配[ ]中的任意一个字符(若要比较的字符是连续的, ...

  7. SpringCloud微服务实战——搭建企业级开发框架(五十一):微服务安全加固—自定义Gateway拦截器实现防止SQL注入/XSS攻击

      SQL注入是常见的系统安全问题之一,用户通过特定方式向系统发送SQL脚本,可直接自定义操作系统数据库,如果系统没有对SQL注入进行拦截,那么用户甚至可以直接对数据库进行增删改查等操作.   XSS ...

  8. 页面录制服务上线:RESTful API 调用实现,所见所录即所得

    我们为很多实时互动场景提供了服务.在一些场景中,用户不仅需要实时互动,还需要把互动的过程录下来.那么一个好的录制解决方案究竟需要具备哪些特征呢? 在回答这个问题之前,先聊一下客户使用录制的原因.一般来 ...

  9. 这样封装echarts简单好用

    为什么要去封装echarts? 在我们的项目中,有很多的地方都使用了echarts图表展示数据. 在有些场景,一个页面有十多个的echarts图. 这些echarts只是展示的指标不一样. 如果我们每 ...

  10. ChannelInboundHandlerAdapter 与 SimpleChannelInboundHandler 功能详解

    SimpleChannelInboundHandler [类的关系]:如下就是两个类的声明,SimpleChannelInboundHandler是继承 ChannelInboundHandlerAd ...