总结证书配置

1.证书首先分为两种配置方式,

1) 一种是在集群中配置

2) 一种是在上游负载均衡中配置。


1)https证书在集群中配置,并域名直接解析到集群的ingress-nginx-controller所在服务器的IP

2).证书配置到上游负载均衡:(证书配置在哪,哪里做重定向以及请求头):

  证书配置在上游时,上游要增加 proxy_set_header X-Forwarded-Proto https; proxy_set_header X-Forwarded-Port 443;并且重定向到https上,通过80端口负载到后端ingress-nginx-controller:

说明:上述两种情况都需修改comfigmap  (nginx-configuration) 内容如下:

   kubectl edit cm nginx-configuration -n ingress-nginx

   data:

     use-forwarded-headers: "true"

     http-redirect-code: '301'              #301转发兼容低版本内核浏览器配置

     max-worker-connections: '65531'        #更改连接数

     proxy-connect-timeout: '720'           #连接超时时间

     server-tokens: 'false'                 #关闭nginx版本号

并且kubernetes得coredns不要配置为内网解析IP 域名,否则访问taskcenter等项目会遇到证书TLS问题。
特殊: 如果上游不做域名强转:我们这里开启ssl-redirect: "true"

      并且 nginx.ingress.kubernetes.io/app-root: /taskcenter 改成nginx.ingress.kubernetes.io/app-root: https://xxx/taskcenter

证书处于上游时 80 和 443 端口转为指向下游得80时,需要做如下操作

   nginx-configuration 开启 use-forwarded-headers: 'true'
1. X-Forwarded-Proto 强制传https

2. X-Forwarded-Port 强制传443端口
如sso和apis得域名与其canvas得不同,那么sso和apis也要上述条件满足

满足以上要求部署不会出现问题

如何检查上述是否加对,在pod中进行tcpdump抓包

抓包命令为: sudo tcpdump -XX -vvv -nn -w a.log

kubernetes关于证书配置得问题总结的更多相关文章

  1. Kubernetes ServiceAccount的配置

    开始配置Kubernetes集群的时候为了少出问题,都是在apiserver配置中去掉ServiceAccount采用非安全连接的方式,但在后面配置FEK日志的过程中,很多时候绕不开这个安全机制,但因 ...

  2. 附008.Kubernetes TLS证书介绍及创建

    一 Kubernetes证书 1.1 TLS Kubernetes系统的各个组件需要使用TLS证书对其通信加密以及授权认证,建议在部署之前先生成相关的TLS证书. 1.2 CA证书创建方式 kuber ...

  3. 4.第三篇 PKI基础概念、cfssl工具介绍及kubernetes中证书

    文章转载自:https://mp.weixin.qq.com/s?__biz=MzI1MDgwNzQ1MQ==&mid=2247483787&idx=1&sn=08dd3404 ...

  4. 苹果ATS特性服务器证书配置指南

    配置指南: 需要配置符合PFS规范的加密套餐,目前推荐配置: ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!AD ...

  5. HTTPS 证书配置

    HTTPS 证书配置 现在阿里云和腾讯云都支持申请 HTTPS 证书,这里不再提,有需要的可自行google解决方案. 本文主要介绍的是通过 letsencrypt 申请免费的HTTPS证书,并将其配 ...

  6. 阿里云负载均衡SSL证书配置

    阿里云负载均衡SSL证书 转载请注明地址:http://www.cnblogs.com/funnyzpc/p/8908461.html 好久了呢,距上篇博客的这段时间中:考试.搬家.工作赶工.业务考察 ...

  7. 阿里云负载均衡SSL证书配置(更新)

    阿里云负载均衡及应用防火墙SSL证书配置 转载请注明地址:http://www.cnblogs.com/funnyzpc/p/8908461.html 好久了呢,距上篇博客的这段时间中:考试.搬家.工 ...

  8. 最新阿里云服务器免费SSL证书配置HTTPS的两种方法(图文教程二)

    在大家学习如何利用免费SSL证书配置网站HTTPS之前,我们先要搞清楚为什么要开启HTTPS,这个绿色的小锁真的有用吗?所谓的HTTPS其实是(安全套接字层超文本传输协议)是以安全为目标的HTTP通道 ...

  9. linux ssl证书配置(apache)

    1. 前提是 已通过第三方 申请到 .crt .key 和 .ca-bundle 文件 2. 将三个文件拷贝到linux服务器上 任意一个指定的目录 3. 找到要编辑的apache配置 Apache主 ...

随机推荐

  1. Linux基础:子网划分

    一.ip地址基本知识 1.1 ip地址的结构和分类 1.2 特殊ip地址 1.3 子网掩码 1.4 ip地址申请 二.子网划分 2.1 子网划分概念 2.2 c类子网划分初探 2.3 子网划分步骤 2 ...

  2. 理解Python装饰器(Decorator)

    date: 2017-04-14 00:06:46 Python的装饰器,顾名思义就是可以为已有的函数或对象起到装饰的作用,使得达到代码重用的目的. 从一个简单的例子出发 这个例子中我们已经拥有了若干 ...

  3. Solution -「多校联训」取石子游戏

    \(\mathcal{Description}\)   Link.   有 \(n\) 堆石子,第 \(i\) 堆有 \(x_i\) 个,Alice 每次只能从这堆中拿走 \(a_i\) 个石子,Bo ...

  4. vue实例中的watch属性

    watch 就是监听,当数据发生改变的时候就执行 data:{ num1:1, num2:2 }, watch:{ num1(newValue){ }, num2(newValue,oldValue) ...

  5. WebGL 与 WebGPU比对[5] - 渲染计算的过程

    目录 1. WebGL 1.1. 使用 WebGLProgram 表示一个计算过程 1.2. WebGL 没有通道 API 2. WebGPU 2.1. 使用 Pipeline 组装管线中各个阶段 2 ...

  6. 记一次对ctf试题中对git文件泄露的漏洞的挖掘

    拿到题,先f12查看代码 发现情况直接进行访问 最后试了发现flag.js可以访问  服务器返回了如下图所示的乱码 很显然有可能是git泄露  话不多说,直接利用https://github.com/ ...

  7. Burp intruder暴力攻击web口令

    实验目的 利用Burp intruder功能爆破出后台登陆密码admin. 实验原理 1)Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫 ...

  8. 【C#基础概念】虚方法virtual

    目录: 一.虚方法的概念 二.虚方法的特点 三.虚方法的作用 四.虚方法的声明 五.虚方法的执行 六.虚拟类的规则 一.虚方法的概念 在C#中,虚方法就是可以被子类重写的方法,如果子类重写了虚方法,则 ...

  9. 【C#程序集】程序集

    .net 程序集的组成: 程序集由元数据.清单.il .资源 .net程序集名称 强名称程序集有一个完全限定的名称,由程序集的名称.区域性.公钥.版本号以及(可选)处理器体系结构组成. 使用 Full ...

  10. SpreadJS + GcExcel 一出,谁与争锋!全栈表格技术轻松应对复杂公式计算场景(一)

    设计思路篇 Excel是我们日常办公中最常用的电子表格程序,不仅可满足报表数据的计算需求,还可提供绘图.数据透视分析.BI和Visual Basic for Applications (VBA)宏语言 ...