AI 助理
备案控制台
开发者社区 云原生 容器服务 文章 正文

在容器服务kubernetes上配置https

2018-09-21 10573
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 当前容器服务kubernetes支持多种应用访问的形式,最常见的如SLB:Port,NodeIP:NodePort,域名访问等;但是如果用户希望能够通过https进行应用的访问,容器服务kubernetes默认是不支持的,本文旨在通过实际案例演示https的访问配置,帮助用户在容器服务kubernetes中配置自己的证书。

当前容器服务kubernetes支持多种应用访问的形式,最常见的如SLB:Port,NodeIP:NodePort,域名访问等;但是如果用户希望能够通过https进行应用的访问,容器服务kubernetes默认是不支持的,本文旨在通过实际案例演示https的访问配置,帮助用户在容器服务kubernetes中配置自己的证书。

根据访问的方式不同,当前可以分为两种配置证书的方式,分别为在前端SLB上配置证书和在ingress中配置证书。下面我们对两种方式进行详细介绍。

方式一 在前端SLB上配置证书

前提

应用采用LoadBalancer类型的service进行访问暴露。

优点

       证书配置在SLB上,为应用外部访问的入口,在集群内部进行应用的访问依然用的是http访问方式。

缺点

       需要维护较多的域名与IP地址的对应关系。

适用场景

       应用不使用Ingress暴露访问方式,通过LoadBalancer类型的service进行应用访问的暴露。

示例

我们以tomcat为例进行演示。

第一步,创建一个tomcat应用及服务,在这里我们使用控制台进行应用的创建。如下图所示创建的tomcat应用名称为tomcat-https-test,服务名称为tomcat-https-test-svc。其中,service为LoadBalancer类型,暴露的服务端口为8080。

755448efa983f58e94bd75e75b7b11aca47cf75f

       第二步,访问tomcat应用,采用SLB地址进行访问。如下图所示,可以通过IP:Port的方式进行访问。

745f349833166b01061d643bb205b41769d4ae4a

 

第三步,查看service对应的SLB信息。如下图所示可以看到,当前SLB开通的是TCP:8080。如果采用https的访问方式,我们需要将协议和端口改为https:443。

 f3f14f96892ad2865e24d93fade276ad7dc3bd26

 

第四步,在SLB界面添加https的监听。

1、         配置为选择https协议,端口为443;

2、         填入ssl证书,证书生成可以参考生成CA证书

3、         后端服务器端口服务界面找到该服务对应的NodePort;

712c512580f007d7269d7385d2c50ed84bc3f5e5

4、         点击完成创建,创建完成后如下所示。

c75dfd7b2d5a0280d36f91c5ccb2f58dc9f7c5e3

       第五步,访问https的tomcat应用,https://slb_ip。如果在证书中加入了域名验证,可以使用域名进行访问。同时我们没有删除tcp:8080,所以通过slb_ip:8080也可以访问。

bfadf4398e4a249d8c55a82f92a51cc1c0dbfbaf

方式二 在ingress上配置证书

前提

通过ingress暴露应用的访问方式,并且证书在ingress上进行配置。

优点

1、         无需改动SLB的配置

2、         每一个应用都可以通过Ingress管理自己的证书,互不干扰

适用场景

       每个应用都需要单独的证书进行访问;或者集群中存在需要证书才能访问的应用。

示例

同样以tomcat为例进行应用的创建;创建tomcat应用及其服务参考方式一中的步骤。

在这里以tomcat应用及服务创建好为前提。

方法一 通过控制台进行Ingress及其证书配置

第一步,根据准备好的证书创建secret,命令如下:(在后台master节点)

       kubectl create secret tls foo.bar --key tls.key --cert tls.crt

       注意:在这里需要正确配置域名,否则后续通过https访问会有问题。

322f8e863cd388c4cc2735d9a9ebabb96351a371

 

       第二步,登录控制台,找到【应用】->【路由】,点击【创建】进行路由的创建;创建需要填入的参数如下图所示:

7051931ad7eaa5ac3e0eaab2ec96a9be1452258a

      

       第三步,在路由界面找到刚创建的路由test-https,点击详情查看具体信息。

       dc8548cd6a21098f35a027b6a415556d83096d8f

 

       第四步,在详情页面查看具体信息,找到域名;

       4d4fe7de1e5ca61118d7675cbf0dcdb954ba828d

 

       第五步,使用域名进行访问,由于我们创建了TLS证书访问,说以要用https来进行域名的访问,针对该应用,域名访问如下,其中test123.com为示例,需要自己解析。

1b0e6afde6ae9d4fc2430d4f6baee5ba047bdd15

方法二 通过yaml文件进行证书的配置

第一步,根据准备好的证书创建secret,命令如下:(在后台master节点)

       kubectl create secret tls foo.bar --key tls.key --cert tls.crt

       注意:在这里需要正确配置域名,否则后续通过https访问会有问题。

322f8e863cd388c4cc2735d9a9ebabb96351a371

 

       第二步,使用以下yaml文件进行ingress的创建,注意tls的引用;创建命令为kubectl create -f ingress-https.yaml;

               apiVersion: extensions/v1beta1

kind: Ingress

metadata:

   name: test-https

spec:

  tls:

  - hosts:

    - test-https.test123.com

    secretName: test-https

  rules:

  - host: test-https.test123.com

    http:

      paths:

      - path: /

        backend:

          serviceName: tomcat-https-test-svc

          servicePort: 8080

       第三步,在浏览器中访问test-https.test123.com。

       1b0e6afde6ae9d4fc2430d4f6baee5ba047bdd15

 

总结

       建议通过配置Ingress的方式进行证书的配置。

文章标签:
容器计算服务
容器服务Kubernetes版
域名与网站
负载均衡
容器
应用服务中间件
Kubernetes
关键词:
HTTPS配置
容器服务Kubernetes版kubernetes
容器服务Kubernetes版容器
容器服务容器服务Kubernetes版
容器容器服务Kubernetes版
相关实践学习
使用ACS算力快速搭建生成式会话应用
阿里云容器计算服务 ACS(Container Compute Service)以Kubernetes为使用界面,采用Serverless形态提供弹性的算力资源,使您轻松高效运行容器应用。本文将指导您如何通过ACS控制台及ACS集群证书在ACS集群中快速部署并公开一个容器化生成式AI会话应用,并监控应用的运行情况。
深入解析Docker容器化技术
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。Docker是世界领先的软件容器平台。开发人员利用Docker可以消除协作编码时“在我的机器上可正常工作”的问题。运维人员利用Docker可以在隔离容器中并行运行和管理应用,获得更好的计算密度。企业利用Docker可以构建敏捷的软件交付管道,以更快的速度、更高的安全性和可靠的信誉为Linux和Windows Server应用发布新功能。 在本套课程中,我们将全面的讲解Docker技术栈,从环境安装到容器、镜像操作以及生产环境如何部署开发的微服务应用。本课程由黑马程序员提供。     相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
朱延生
目录
相关文章
啦啦啦191
|
3月前
|
Kubernetes Docker Python
Docker 与 Kubernetes 容器化部署核心技术及企业级应用实践全方案解析
本文详解Docker与Kubernetes容器化技术,涵盖概念原理、环境搭建、镜像构建、应用部署及监控扩展,助你掌握企业级容器化方案,提升应用开发与运维效率。
啦啦啦191
775 108
网络AI
|
2月前
|
人工智能 Ubuntu 前端开发
Dify部署全栈指南:AI从Ubuntu配置到HTTPS自动化的10倍秘籍
本文档介绍如何部署Dify后端服务及前端界面,涵盖系统环境要求、依赖安装、代码拉取、环境变量配置、服务启动、数据库管理及常见问题解决方案,适用于开发与生产环境部署。
网络AI
659 1
kijlee
|
6月前
|
应用服务中间件 Linux 网络安全
Centos 8.0中Nginx配置文件和https正书添加配置
这是一份Nginx配置文件,包含HTTP与HTTPS服务设置。主要功能如下:1) 将HTTP(80端口)请求重定向至HTTPS(443端口),增强安全性;2) 配置SSL证书,支持TLSv1.1至TLSv1.3协议;3) 使用uWSGI与后端应用通信(如Django);4) 静态文件托管路径设为`/root/code/static/`;5) 定制错误页面(404、50x)。适用于Web应用部署场景。
kijlee
717 87
路边两盏灯
|
4月前
|
域名解析 网络协议 API
【Azure Container App】配置容器应用的缩放规则 Managed Identity 连接中国区 Azure Service Bus 问题
本文介绍了在 Azure Container Apps 中配置基于自定义 Azure Service Bus 的自动缩放规则时,因未指定云环境导致的域名解析错误问题。解决方案是在扩展规则中添加 `cloud=AzureChinaCloud` 参数,以适配中国区 Azure 环境。内容涵盖问题描述、原因分析、解决方法及配置示例,适用于使用 KEDA 实现事件驱动自动缩放的场景。
路边两盏灯
136 1
蓝易云
|
1月前
|
网络安全 开发工具 git
在GitLab CI中同步HTTPS仓库地址的yaml配置
最后,提交并推送 `.gitlab-ci.yml`文件到您的GitLab仓库。GitLab CI/CD将自动识别这个文件,并在每次推送到 `master`分支时执行定义的同步任务。
蓝易云
153 16
南瓜佬
|
2月前
|
存储 Kubernetes 网络安全
关于阿里云 Kubernetes 容器服务(ACK)添加镜像仓库的快速说明
本文介绍了在中国大陆地区因网络限制无法正常拉取 Docker 镜像的解决方案。作者所在的阿里云 Kubernetes 集群使用的是较旧版本的 containerd(1.2x),且无法直接通过 SSH 修改节点配置,因此采用了一种无需更改 Kubernetes 配置文件的方法。通过为 `docker.io` 添加 containerd 的镜像源,并使用脚本自动修改 containerd 配置文件中的路径错误(将错误的 `cert.d` 改为 `certs.d`),最终实现了通过多个镜像站点拉取镜像。作者还提供了一个可重复运行的脚本,用于动态配置镜像源。虽然该方案能缓解镜像拉取问题,
南瓜佬
334 2
蓝易云
|
3月前
|
缓存 Ubuntu Docker
Ubuntu环境下删除Docker镜像与容器、配置静态IP地址教程。
如果遇见问题或者想回滚改动, 可以重启系统.
蓝易云
275 16
南瓜佬
|
2月前
|
Kubernetes Devops Docker
Kubernetes 和 Docker Swarm:现代 DevOps 的理想容器编排工具
本指南深入解析 Kubernetes 与 Docker Swarm 两大主流容器编排工具,涵盖安装、架构、网络、监控等核心维度,助您根据团队能力与业务需求精准选型,把握云原生时代的技术主动权。
南瓜佬
274 1
花小白特别小
|
4月前
|
人工智能 缓存 Kubernetes
ACK GIE配置建议
Gateway with Inference Extension是基于Kubernetes社区Gateway API及其扩展规范实现的增强型组件,支持四层/七层路由服务,并面向生成式AI推理场景提供负载均衡优化、服务管理简化等能力,适用于AI推理服务的高可用部署与性能优化。在不同的场景使用ACK Gateway with Inference Extension时,可能需要根据业务需求和高可用需要对网关和推理扩展进行不同的配置调整。本文主要介绍在实际业务场景中针对ACK GIE的配置建议,以获得更好的使用效果。
花小白特别小
277 23
云原生

容器服务

热门文章

最新文章

  • 1
    Docker CE 镜像源站
  • 2
    Minikube - Kubernetes本地实验环境
  • 3
    Docker的Windows容器初体验
  • 4
    Docker学习路线图 (持续更新中)
  • 5
    利用Zipkin对Spring Cloud应用进行服务追踪分析
  • 6
    基于Docker容器的,Jenkins、GitLab构建持续集成CI
  • 7
    容器镜像服务 Docker镜像的基本使用
  • 8
    使用阿里云容器服务Jenkins 2.0实现持续集成之Pipeline篇(updated on 2016.12.23)
  • 9
    利用Helm简化Kubernetes应用部署
  • 10
    理解Docker容器的进程管理
  • 1
    【赵渝强老师】使用Helm简化Kubernetes(K8s)应用的部署和管理
    150
  • 2
    七、Docker核心技术:深入理解网络模式 (Bridge, Host, None, Container)
    363
  • 3
    六、Docker 核心技术:Dockerfile 指令详解
    226
  • 4
    五、Docker 核心技术:容器数据持久化之数据卷
    151
  • 5
    四、Portainer图形化管理实战与Docker镜像原理
    164
  • 6
    三、Docker常用命令
    179
  • 7
    二、Docker安装部署教程
    390
  • 8
    使用ACK推理网关基于域名路由到不同模型服务
    177
  • 9
    Cloud Naive最佳开发实践
    395
  • 10
    手把手教你使用 Docker 部署 Nginx 教程
    668

    • 相关产品

  • 容器计算服务
    文档详情 产品详情
  • 容器服务Kubernetes版
    文档详情 产品详情

    • 相关课程

    更多
  • 5分钟玩转阿里云容器服务
  • 容器持久化储存训练营
  • 现代应用容器技术快速入门
  • 云计算、容器和云原生基础课程
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • 容器安全与Palo Alto Networks解决方案

    • 相关电子书

    更多
  • 从Docker到容器服务
  • 基于阿里云容器服务 实现Serverless服务
  • 容器加速企业创新阿里云容器服务

    • 推荐镜像

    更多
  • kubernetes
    • 下一篇
    拔俗AI临床大数据科研分析平台:让医学研究更智能、更高效