2. 程式人生 > >K8S集群Ingress https實踐

K8S集群Ingress https實踐

阿新 發佈:2018-05-24
k8s ingress https tls sni

前文介紹使用ingress結合traefik實現了入口的動靜分離,本文將在前文基礎上實現ingress的https配置。

為了簡單且高效,建議應用容器化部署之後,https卸載在ingress這一級實現。通俗一點來說就是用戶到ingress的連接走https協議,ingress到後端服務的連接走https協議。

我們對https的配置要求也比較簡單,主要如下:
1、http自動重定向到https
2、https支持虛擬主機(TLS SNI)

一、初始環境準備

1、這裏為了方便測試,把前文配置的網站動態部分路由規則都拿掉,僅保留靜態部分
技術分享圖片
2、配置hosts解析記錄
技術分享圖片
3、http訪問測試
技術分享圖片
技術分享圖片

二、準備證書文件和配置文件

1、這裏將兩個站點的四個證書文件統一放到一個secret裏面去維護

# kubectl create secret generic traefik-cert --from-file=star_59iedu_com.key  --from-file=star_59iedu_com.pem  --from-file=star_yingjigl_com.key  --from-file=star_yingjigl_com.pem -n kube-system

技術分享圖片
2、配置http重定向到https,同時支持多個https虛擬主機(TLS SNI)

# cat traefik.toml 
defaultEntryPoints = ["http","https"]
[entryPoints]
  [entryPoints.http]
  address = ":80"
    [entryPoints.http.redirect]
    entryPoint = "https"
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
      [[entryPoints.https.tls.certificates]]
      CertFile = "/ssl/star_59iedu_com.pem"
      KeyFile = "/ssl/star_59iedu_com.key"
      [[entryPoints.https.tls.certificates]]
      certFile = "/ssl/star_yingjigl_com.pem"
      keyFile = "/ssl/star_yingjigl_com.key"
 
# kubectl create configmap traefik-conf --from-file=traefik.toml -n kube-system

技術分享圖片

三、修改traefik配置文件

主要需要添加config和ssl volumes,其他的配置(例如:rabc、service、ingress等)保持不變,具體配置可參考前文,前文傳送門:http://blog.51cto.com/ylw6006/2073718

# cat traefik-deployment.yaml   
apiVersion: v1
kind: ServiceAccount
metadata:
  name: traefik-ingress-controller
  namespace: kube-system
---
kind: Deployment
apiVersion: extensions/v1beta1
metadata:
  name: traefik-ingress-controller
  namespace: kube-system
  labels:
    k8s-app: traefik-ingress-lb
spec:
  replicas: 2
  selector:
    matchLabels:
      k8s-app: traefik-ingress-lb
  template:
    metadata:
      labels:
        k8s-app: traefik-ingress-lb
        name: traefik-ingress-lb
    spec:
      serviceAccountName: traefik-ingress-controller
      hostNetwork: true
      nodeSelector:
        traefik: proxy
      terminationGracePeriodSeconds: 60
      volumes:
       - name: ssl
         secret:
          secretName: traefik-cert
       - name: config
         configMap:
          name: traefik-conf
      containers:
      - image: traefik
        name: traefik-ingress-lb
        volumeMounts:
        - mountPath: "/ssl"
          name: "ssl"
        - mountPath: "/config"
          name: "config"
        ports:
        - name: web
          containerPort: 80
          hostPort: 80
        - name: admin
          containerPort: 8081
        args:
        - --configfile=/config/traefik.toml
        - --web
        - --web.address=:8081
        - --kubernetes
 
# kubectl apply -f traefik-deployment.yaml

技術分享圖片

四、訪問測試與驗證

技術分享圖片
技術分享圖片
技術分享圖片
技術分享圖片

參考文檔:
其他的需求,例如gzip壓縮,tls版本和加密算法,rewrite重定向等配置也可以參考此文檔
https://docs.traefik.io/configuration/entrypoints/#basic

K8S集群Ingress https實踐

相關推薦

K8SIngress https實踐

k8s ingress https tls sni 前文介紹使用ingress結合traefik實現了入口的動靜分離,本文將在前文基礎上實現ingress的https配置。 為了簡單且高效,建議應用容器化部署之後,https卸載在ingress這一級實現。通俗一點來說就是用戶到ingres

K8S使用Ingress實現網站入口動靜分離實踐

k8s ingress traefik 今年3月份在公司的內部k8s培訓會上,和研發同事詳細探討了應用部署容器化部署的幾個問題,問題簡要如下: 1、java應用容器化部署首先通過自動化部署工具編譯出全量的war包,將war包直接編譯到docker鏡像後推送到私用倉庫並版本化控制;其次通過更新dep

使用kubeadm安裝k8s故障處理三則

使用 網上 ack uber == 聯網 ice init etc 最近在作安裝k8s集群,測試了幾種方法,最終覺得用kubeadm應該最規範。 限於公司特別的網絡情況,其安裝比網上不能訪問google的情況還要艱難。 慢慢積累經驗吧。 今天遇到的三則故障記下來作參考

k8s 基本概念<轉>

agen pro point 更新 host 規模 repl 網絡命令 nta k8s 集群基本概念 轉《http://www.cnblogs.com/chris-cp/p/5766153.html》 一、概述:   kubernetes是google開源的容器集群管

centos 7 部署k8s

指定 end update flannel cluster firewall clust /etc/ centos 前期準備 systemctl stop firewalldsystemctl disable firewalld yum -y install ntp sys

Kubernetes(K8S)管理Docker容器(部署篇)

kubernetes k8s今天這篇文章教給大家如何快速部署一套Kubernetes集群。K8S集群部署有幾種方式:kubeadm、minikube和二進制包。前兩者屬於自動部署,簡化部署操作,我們這裏強烈推薦初學者使用二進制包部署,因為自動部署屏蔽了很多細節,使得對各個模塊感知很少,非常不利用學習。所以,這

5 秒創建 k8s - 每天5分鐘玩轉 Docker 容器技術(115)

rmi 叠代 asi nta -s -o 影響力 safe creating 據說 Google 的數據中心裏運行著超過 20 億個容器,而且 Google 十年前就開始使用容器技術。最初,Google 開發了一個叫 Borg 的系統(現在命令為 Omega)來調度如此龐大

[k8s]elk架構設計-k8s裏搭建

all mob 依次 廣州 restore publish rest 存儲 star elk設計架構 參考 Elasticsearch最佳實踐建議將這些節點分成三個角色: Master 節點 - 僅用於集群管理,沒有數據,沒有HTTP API Client 節點 - 用

使用kubeadm部署k8s09-配置worker節點

status gist iyu file epo discover use rep x86 使用kubeadm部署k8s集群09-配置worker節點 2018/1/4 配置 worker 節點 初始化 加入集群 切換 worker 節點連接到 apiserver 的 L

使用kubeadm部署k8s03-擴容kube-apiserver到3節點

sage back exp issue 重新 man ble sub 證書 使用kubeadm部署k8s集群03-擴容kube-apiserver到3節點 2018/1/3 擴容 kube-apiserver 到 3 節點 配置 kube-apiserver.yaml 分

使用kubeadm部署k8s07-擴容kube-scheduler到3節點

同步 all 配置 啟動 uber manifest 操作 schedule esp 使用kubeadm部署k8s集群07-擴容kube-scheduler到3節點 2018/1/4 擴容 kube-scheduler 到 3 節點 連接到本節點的 apiserver

使用kubeadm部署k8s01-初始化

org state ces docker mes mos per 系統 來安 使用kubeadm部署k8s集群01-初始化 2018/1/3 節點配置 master x3 OS version: centos7 swapoff ### 阿裏雲默認:off hosts

使用kubeadm部署k8s02-配置etcd高可用

手動 通過 git fix 功能 部署 let tar spec 使用kubeadm部署k8s集群02-配置etcd高可用 2018/1/4 配置 etcd 高可用 新建一個 2 節點的 etcd cluster 查看 etcd 的狀態 遷移原來 master 節點上的

使用kubeadm部署k8s04-配置kubelet訪問kube-apiserver

apiserver let -s system users sed net -i sys 使用kubeadm部署k8s集群04-配置kubelet訪問kube-apiserver 2018/1/4 配置 kubelet 訪問 kube-apiserver 切換 maste

使用kubeadm部署k8s06-擴容kube-controller-manager到3節點

sed account 同步 config 修改配置 ont etc Language serve 使用kubeadm部署k8s集群06-擴容kube-controller-manager到3節點 2018/1/3 擴容 kube-controller-manager 到

再探使用kubeadm部署高可用的k8s-01引言

data- mode etcd [1] working -s device master 基本 再探使用kubeadm部署高可用的k8s集群-01引言 2018/1/26 提示 僅供測試用途前言:高可用一直是重要的話題,需要持續研究。最近關註到 k8s 官網文檔有更新,其中

使用kubeadm部署k8s00-緩存gcr.io鏡像

命名空間 sin sid ont -m images env reference sched 使用kubeadm部署k8s集群00-緩存gcr.io鏡像 2018/2/7 原因:kubeadm init 時,需要下載一些鏡像,但國內網絡原因,大家懂的,不容易下載,此時,只

K8S 安裝

k8s一、環境 1、操作系統 Centos 7.4 2、主機信息 K8S Master主機: kb-master-001 192.168.0.11 kb-master-002 192.168.0.12 kb-master-003 192.168.0.13 K8S Node主機: kb-node-

centos7 k8s部署

k8s 集群部署 安裝k8s集群前期準備:網絡環境:節點 主機名 ipMaster k8s_master 192.168.3.216Node1 k8s_node1 192.168.3

使用Helm 在容器服務k8s一鍵部署wordpress

架構摘要: Helm 是啥? 微服務和容器化給復雜應用部署與管理帶來了極大的挑戰。Helm是目前Kubernetes服務編排領域的唯一開源子項目,做為Kubernetes應用的一個包管理工具,可理解為Kubernetes的apt-get / yum,由Deis 公司發起,該公司已經被微軟收購。 Helm 是啥