当前容器服务Kubernetes集群支持多种应用访问的形式,最常见形式如SLB:PortNodeIP:NodePort和域名访问等。但是Kubernetes集群默认不支持HTTPS访问,如果用户希望能够通过HTTPS进行应用的访问,容器服务和阿里云负载均衡服务为您提供安全的HTTPS访问。本文旨在通过实际案例演示的HTTPS访问配置,帮助用户在容器服务Kubernetes中配置自己的证书。

根据访问的方式不同,当前可以分为两种配置证书的方式:

  • 在前端SLB上配置证书
  • 在Ingress中配置证书

前提条件

  • 您已创建一个Kubernetes集群,参见创建Kubernetes集群
  • 您已经通过SSH连接到Master节点,参见SSH访问Kubernetes集群
  • 连接到Master节点后,创建集群的服务器证书,包括公钥证书和私钥。您可通过以下命令快速创建。
    $  openssl genrsa -out tls.key 2048
    
    Generating RSA private key, 2048 bit long modulus
    ................................................................+++
    ........................................................................................+++
    e is 65537 (0x10001) $ openssl req -sha256 -new -x509 -days 365 -key tls.key -out tls.crt You are about to be asked to enter information that will be incorporated
    ...
    -----
    Country Name (2 letter code) [XX]:CN
    State or Province Name (full name) []:zhejiang
    Locality Name (eg, city) [Default City]:hangzhou
    Organization Name (eg, company) [Default Company Ltd]:alibaba
    Organizational Unit Name (eg, section) []:test
    Common Name (eg, your name or your server's hostname) []:foo.bar.com #注意,您需要正确配置域名
    Email Address []:a@alibaba.com

方法1 在SLB上配置HTTPS证书

该方式有如下特点:

  • 优点: 证书配置在SLB上,为应用外部访问的入口,在集群内部进行应用的访问依然用的是http访问方式。
  • 缺点:需要维护较多的域名与IP地址的对应关系。
  • 适用场景:应用不使用Ingress暴露访问方式,通过LoadBalancer类型的service进行应用访问的暴露。

准备工作

您已在该Kubernetes集群中创建一个Tomcat应用,该应用采用LoadBalancer类型的服务(service)对外提供访问。参见创建服务

示例

  1. 登录 容器服务管理控制台
  2. 单击左侧导航栏中应用 > 服务,选择所需集群和命名空间,查看预先创建的tomcat示例应用。如下图所示创建的tomcat应用名称为tomcat,服务名称为tomcat-svc。其中,服务类型为LoadBalancer,暴露的服务端口为8080。
  3. 单击外部端点,您可通过IP:Port的方式访问tomcat应用。
  4. 登录负载均衡管理控制台
  5. 默认进入实例管理页面,在服务地址栏中,找到与tomcat-svc服务外部端点对应的负载均衡实例,单击操作列中的监听配置向导。
  6. 开始进行负载均衡配置,首先进行配置监听协议。选择HTTPS协议,监听端口设置为443,然后单击下一步。
  7. 配置SSL证书。
    1. 首先单击新建服务器证书。
    2. 在弹出的创建证书页面中,选择证书来源。本例中选择上传第三方签发证书,然后单击下一步。
    3. 在上传第三方签发证书页面中,配置证书名称,选择证书部署区域,然后在公钥证书和私钥栏中输入前提条件中创建的服务器公钥证书和私钥,最后单击确定。
    4. 然后在选择服务器证书栏选择刚创建的服务器证书。
    5. 最后单击下一步。
  8. 配置后端服务器,默认情况下已添加服务器,您需要配置后端服务器端口,用于监听tomcat-svc服务,最后单击下一步。
     
    说明 您需要在容器服务Web界面找到该服务对应的NodePort,并在后端服务器端口中配置该端口。

  9. 配置健康检查,然后单击下一步。本例中采用默认配置。
  10. 进行配置审核,确认配置正确后,单击提交。
  11. 配置成功后,单击确定。
  12. 返回实例管理页面,您查看该实例,HTTPS:443监听规则已经生成。
  13. 访问HTTPS的tomcat应用,在浏览器中输入https://slb_ip并进行访问。
     
    说明 如果在证书中加入了域名验证,可以使用域名进行访问。同时我们没有删除 tcp:8080,所以通过 slb_ip:8080也可以访问。

方法2 在Ingress上配置证书

该方法有如下特点:

  • 优点:无需改动SLB的配置;每一个应用都可以通过Ingress管理自己的证书,互不干扰
  • 适用场景:每个应用都需要单独的证书进行访问;或者集群中存在需要证书才能访问的应用。

准备工作

您已在该Kubernetes集群中创建一个Tomcat应用,该应用的服务(Service)采用ClusterIP的方式提供访问。本例中准备使用Ingress对外提供HTTPS访问服务。

示例

    1. 登录到Kubernetes集群的Master节点,根据准备好的证书创建secret。

       
      说明 在这里需要正确配置域名,否则后续通过HTTPS访问会有问题。
      kubectl create secret tls secret-https --key tls.key --cert tls.crt      
    2. 登录 容器服务管理控制台
    3. 单击左侧导航栏的应用 > 路由,选择所需的集群和命名空间,单击右上角创建。
    4. 在创建路由对话框中,配置可HTTPS访问的路由,完成后单击确定。
      更多详细的路由配置信息,请参见通过 Web 界面创建路由。本例中进行如下配置。

      • 名称:输入该路由的名称
      • 域名:即是前面配置的正确域名,与ssl证书中配置的保持一致。
      • 服务:选择tomcat应用对应的service,端口为8080。
      • 开启TLS:开启TLS后,选择已创建的secret。


      您也可采用yaml文件的方式创建路由(Ingress),本例对应的yaml示例文件如下:

      apiVersion: extensions/v1beta1
      
      kind: Ingress
      
      metadata:
      
         name: tomcat-https
      
      spec:
      
        tls:
      
        - hosts:
      
          - foo.bar.com
      
          secretName: secret-https
      
        rules:
      
        - host: foo.bar.com
      
          http:
      
            paths:
      
            - path: /
      
              backend:
      
                serviceName: tomcat-svc
      
                servicePort: 8080
    5. 返回路由列表,查看创建的路由(Ingress),本例中域名为foo.bar.com,并查看端点和域名,您也可进入路由详情页进行查看。
       
      说明 本例中以 foo.bar.com作为测试域名,您需要在hosts文件中创建一条记录。

      47.110.119.203  foo.bar.com                   #其中IP地址即是路由的端点。

    6. 在浏览器中访问https://foo.bar.com
       
      说明 由于创建了TLS证书访问,所以要用HTTPS来进行域名访问,针对该应用,本例以 foo.bar.com为示例,在本地进行解析。在具体使用场景中,请使用备案过的域名。

实例配置:

先配置nginx的services 暴露443端口,  再配置ingress路由, ssl证书事先通过aliyun ssl服务申请好。

访问效果:

在容器服务kubernetes上配置https的更多相关文章

  1. 如何在 Intellij IDEA 更高效地将应用部署到容器服务 Kubernetes

    前言 在之前的一篇文章中,我们介绍了 如何将一个本地的 Java 应用程序直接部署到阿里云 ECS ,有不少读者反馈,如果目前已经在使用阿里云容器服务 Kubernetes 了,那该如何配合这个插件部 ...

  2. 容器服务kubernetes federation v2实践五:多集群流量调度

    概述 在federation v2多集群环境中,通过前面几篇文章的介绍,我们可以很容易的进行服务多集群部署,考虑到业务部署和容灾需要,我们通常需要调整服务在各个集群的流量分布.本文下面简单介绍如何在阿 ...

  3. kubernetes API 访问控制在阿里云容器服务(ACK)上的实践

    提起K8s API的访问控制,很多同学应该都会想到RBAC,这是K8s用来做权限控制的方法,但是K8s对API的访问控制却不止于此,今天我们就来简单介绍下K8s的访问控制以及ACK如何利用这套方法提供 ...

  4. 容器服务 TKE 上服务暴露的几种方式

    预备知识 1. K8S 上 Service 类型 ClusterIP 通过集群的内部 IP 暴露服务,选择该值,服务只能够在集群内部可以访问,这也是默认的 ServiceType. NodePort ...

  5. 手把手教你在容器服务 TKE 上使用 LB 直通 Pod

    什么是 LB 直通 Pod ? Kubernetes 官方提供了 NodePort 类型的 Service,即给所有节点开一个相同端口用于暴露这个 Service,大多云上 LoadBalancer ...

  6. 使用容器运行的minio配置https(TLS)访问

    使用certgen生成证书 下载地址:https://github.com/minio/certgen/releases/tag/v0.0.2 下载地址:https://files.cnblogs.c ...

  7. Alibaba Cloud Toolkit for Eclipse & ECS、EDAS 或容器服务 Kubernetes

    UserGuide_V2.1.0http://toolkit.aliyun.com/eclipse/?spm=5176.2020520130.105.3.3c3b697bOHma9f&msct ...

  8. .Net Core和jexus配置HTTPS服务

    花了几天时间,看了好多篇博客,终于搞定了网站的HTTPS服务,借此写篇博客,来让有需要的朋友少走弯路. 一.环境介绍 1.Linux下在Docker容器中部署好了一个网站,该网站需要通过外部提供程序访 ...

  9. 阿里云容器服务区块链解决方案全新升级 支持Hyperledger Fabric v1.1

    摘要: 全球开源区块链领域影响最为广泛的Hyperledger Fabric日前宣布了1.1版本的正式发布,带来了一系列丰富的新功能以及在安全性.性能与扩展性等方面的显著提升.阿里云容器服务区块链解决 ...

随机推荐

  1. go语言之进阶篇定时器停止

    1.定时器停止 示例: package main import ( "fmt" "time" ) func main() { timer := time.New ...

  2. 解析eml文件

    之前使用lumisoft解析eml,总是会出现很奇怪的问题,所以改使用微软自家的com库,确实厉害兼容性更好,代码 string file = emailPath; CDO.Message oMsg ...

  3. JavaScript Math和Number对象研究

    1. Math 对象 1.1 介绍   Math 对象,是数学对象,提供对数据的数学计算,如:获取绝对值.向上取整等.无构造函数,无法被初始化,只提供静态属性和方法.   1.2 构造函数   无 : ...

  4. 在Web应用程序中执行计划任务(多线程)

    在业务复杂的应用程序中,有时候会要求一个或者多个任务在一定的时间或者一定的时间间隔内计划进行,比如定时备份或同步数据库,定时发送电子邮件等,我们称之为计划任务.实现计划任务的方法也有很多,可以采用SQ ...

  5. RNN(Recurrent Neural Networks)公式推导和实现

    RNN(Recurrent Neural Networks)公式推导和实现 http://x-algo.cn/index.php/2016/04/25/rnn-recurrent-neural-net ...

  6. JAVA-SpringMVC开发第一个应用

    找到eclipse工具路径 打开eclipse.exe 选择workspace的存放位置,点击ok 点击file-new 选择web-dynamic web project(动态web项目)-next ...

  7. hadoop集群配置SSH免登陆

    今天给大家总结一下hadoop集群之间免登陆的步骤 node1 ssh node4 1.在node1中生成密钥 [root@node1 ~]# ssh-keygen -t dsa -P '' -f ~ ...

  8. 解决IPOD NANO7无法开机

    确定是没电了,按着开关键都没反应,网上求了一招 按住没有反应的ipod nano [开关] + [home] 大概10s钟,开机,然后赶紧充电吧,这哥们进入了深度睡眠模式了!

  9. SpringMVC框架使用注解执行定时任务(转)

    首先要配置我们的SpringMVC文件 xmlns 加下面的内容: xmlns:task="http://www.springframework.org/schema/task" ...

  10. Jenkins Xcode打包ipa

    本地打包. 如果Mac 上没有安装brew.先安装:ruby -e "$(curl -fsSL https://raw.github.com/Homebrew/homebrew/go/ins ...