在容器服务kubernetes上配置https-阿里云开发者社区

开发者社区> 阿里云容器服务 ACK> 正文

在容器服务kubernetes上配置https

简介: 当前容器服务kubernetes支持多种应用访问的形式,最常见的如SLB:Port,NodeIP:NodePort,域名访问等;但是如果用户希望能够通过https进行应用的访问,容器服务kubernetes默认是不支持的,本文旨在通过实际案例演示https的访问配置,帮助用户在容器服务kubernetes中配置自己的证书。

当前容器服务kubernetes支持多种应用访问的形式,最常见的如SLB:Port,NodeIP:NodePort,域名访问等;但是如果用户希望能够通过https进行应用的访问,容器服务kubernetes默认是不支持的,本文旨在通过实际案例演示https的访问配置,帮助用户在容器服务kubernetes中配置自己的证书。

根据访问的方式不同,当前可以分为两种配置证书的方式,分别为在前端SLB上配置证书和在ingress中配置证书。下面我们对两种方式进行详细介绍。

方式一 在前端SLB上配置证书

前提

应用采用LoadBalancer类型的service进行访问暴露。

优点

       证书配置在SLB上,为应用外部访问的入口,在集群内部进行应用的访问依然用的是http访问方式。

缺点

       需要维护较多的域名与IP地址的对应关系。

适用场景

       应用不使用Ingress暴露访问方式,通过LoadBalancer类型的service进行应用访问的暴露。

示例

我们以tomcat为例进行演示。

第一步,创建一个tomcat应用及服务,在这里我们使用控制台进行应用的创建。如下图所示创建的tomcat应用名称为tomcat-https-test,服务名称为tomcat-https-test-svc。其中,service为LoadBalancer类型,暴露的服务端口为8080。

755448efa983f58e94bd75e75b7b11aca47cf75f

       第二步,访问tomcat应用,采用SLB地址进行访问。如下图所示,可以通过IP:Port的方式进行访问。

745f349833166b01061d643bb205b41769d4ae4a

 

第三步,查看service对应的SLB信息。如下图所示可以看到,当前SLB开通的是TCP:8080。如果采用https的访问方式,我们需要将协议和端口改为https:443。

 f3f14f96892ad2865e24d93fade276ad7dc3bd26

 

第四步,在SLB界面添加https的监听。

1、         配置为选择https协议,端口为443;

2、         填入ssl证书,证书生成可以参考生成CA证书

3、         后端服务器端口服务界面找到该服务对应的NodePort;

712c512580f007d7269d7385d2c50ed84bc3f5e5

4、         点击完成创建,创建完成后如下所示。

c75dfd7b2d5a0280d36f91c5ccb2f58dc9f7c5e3

       第五步,访问https的tomcat应用,https://slb_ip。如果在证书中加入了域名验证,可以使用域名进行访问。同时我们没有删除tcp:8080,所以通过slb_ip:8080也可以访问。

bfadf4398e4a249d8c55a82f92a51cc1c0dbfbaf

方式二 在ingress上配置证书

前提

通过ingress暴露应用的访问方式,并且证书在ingress上进行配置。

优点

1、         无需改动SLB的配置

2、         每一个应用都可以通过Ingress管理自己的证书,互不干扰

适用场景

       每个应用都需要单独的证书进行访问;或者集群中存在需要证书才能访问的应用。

示例

同样以tomcat为例进行应用的创建;创建tomcat应用及其服务参考方式一中的步骤。

在这里以tomcat应用及服务创建好为前提。

方法一 通过控制台进行Ingress及其证书配置

第一步,根据准备好的证书创建secret,命令如下:(在后台master节点)

       kubectl create secret tls foo.bar --key tls.key --cert tls.crt

       注意:在这里需要正确配置域名,否则后续通过https访问会有问题。

322f8e863cd388c4cc2735d9a9ebabb96351a371

 

       第二步,登录控制台,找到【应用】->【路由】,点击【创建】进行路由的创建;创建需要填入的参数如下图所示:

7051931ad7eaa5ac3e0eaab2ec96a9be1452258a

      

       第三步,在路由界面找到刚创建的路由test-https,点击详情查看具体信息。

       dc8548cd6a21098f35a027b6a415556d83096d8f

 

       第四步,在详情页面查看具体信息,找到域名;

       4d4fe7de1e5ca61118d7675cbf0dcdb954ba828d

 

       第五步,使用域名进行访问,由于我们创建了TLS证书访问,说以要用https来进行域名的访问,针对该应用,域名访问如下,其中test123.com为示例,需要自己解析。

1b0e6afde6ae9d4fc2430d4f6baee5ba047bdd15

方法二 通过yaml文件进行证书的配置

第一步,根据准备好的证书创建secret,命令如下:(在后台master节点)

       kubectl create secret tls foo.bar --key tls.key --cert tls.crt

       注意:在这里需要正确配置域名,否则后续通过https访问会有问题。

322f8e863cd388c4cc2735d9a9ebabb96351a371

 

       第二步,使用以下yaml文件进行ingress的创建,注意tls的引用;创建命令为kubectl create -f ingress-https.yaml;

               apiVersion: extensions/v1beta1

kind: Ingress

metadata:

   name: test-https

spec:

  tls:

  - hosts:

    - test-https.test123.com

    secretName: test-https

  rules:

  - host: test-https.test123.com

    http:

      paths:

      - path: /

        backend:

          serviceName: tomcat-https-test-svc

          servicePort: 8080

       第三步,在浏览器中访问test-https.test123.com。

       1b0e6afde6ae9d4fc2430d4f6baee5ba047bdd15

 

总结

       建议通过配置Ingress的方式进行证书的配置。

版权声明:本文中所有内容均属于阿里云开发者社区所有,任何媒体、网站或个人未经阿里云开发者社区协议授权不得转载、链接、转贴或以其他方式复制发布/发表。申请授权请邮件developerteam@list.alibaba-inc.com,已获得阿里云开发者社区协议授权的媒体、网站,在转载使用时必须注明"稿件来源:阿里云开发者社区,原文作者姓名",违者本社区将依法追究责任。 如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:developer2020@service.aliyun.com 进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
阿里云容器服务 ACK
使用钉钉扫一扫加入圈子
+ 订阅

云端最佳容器应用运行环境,安全、稳定、极致弹性

官方博客
官网链接