搜索
搜索

GKE,NGINX入口,HTTPS和证书

benjimix 发表于 Dev
13
benjimix

我已经在GCP / GKE上建立了一个Kubernetes集群,除了一件事之外,它都运行良好。当我访问该服务的外部IP时,将(默认)提供“ Kubernetes入口控制器伪证书”。

我正在尝试使用NGINX Ingress(https://kubernetes.github.io/ingress-nginx/),并遵循了我认为是将TLS秘密与Ingress相关联的正确说明。例如:

https://estl.tech/configuring-https-to-a-web-service-on-google-kubernetes-engine-2d71849520d

https://kubernetes.github.io/ingress-nginx/user-guide/tls/

我创建了这样一个秘密:

apiVersion: v1
kind: Secret
metadata:
  name: example-tls
  namespace: default
data:
  tls.crt: [removed]
  tls.key: [removed]
type: kubernetes.io/tls

并将该秘密(我可以确认的秘密已正确应用,并且可以在集群配置中看到)与Ingress关联,如下所示:

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: example-ingress
  namespace: default
  annotations:
    kubernetes.io/ingress.class: "nginx"
    kubernetes.io/ingress.allow-http: "false"
    nginx.ingress.kubernetes.io/ssl-redirect: "true"
    nginx.ingress.kubernetes.io/force-ssl-redirect: "true"
    nginx.ingress.kubernetes.io/affinity: "cookie"
spec:
  backend:
    serviceName: example-service
    servicePort: 80
  tls:
  - secretName: example-tls

从文档中,我认为这应该可行(但是,除非存在错误,否则我显然是错误的!)。

我还看到了一些文档,这些文档要求使用HTTPS的目标代理。也许那就是我应该这样做的方式?

非常感谢您的提前帮助。

干杯本

PS:这是我的负载均衡器配置:

kind: Service
apiVersion: v1
metadata:
  name: ingress-nginx
  namespace: ingress-nginx
  labels:
    app.kubernetes.io/name: ingress-nginx
    app.kubernetes.io/part-of: ingress-nginx
spec:
  externalTrafficPolicy: Cluster
  loadBalancerIP: [removed]
  sessionAffinity: ClientIP
  type: LoadBalancer
  selector:
    app.kubernetes.io/name: ingress-nginx
    app.kubernetes.io/part-of: ingress-nginx
  ports:
    - name: http
      port: 80
      targetPort: http
    - name: https
      port: 443
      targetPort: https

编辑1:查看我的Ingress,我可以看到:

➜  gke git:(develop) ✗ kubectl describe ing example-tls-ingress
Name:             example-tls-ingress
Namespace:        default
Address:          [removed]
Default backend:  example-webapp-service:80 ([removed])
TLS:
  example-tls terminates 
Rules:
  Host  Path  Backends
  ----  ----  --------
  *     *     example-webapp-service:80 ([removed])

因此,看起来好像秘密已被窃取。

这让我认为Ingress终止的TLS和Load Balancer终止的TLS有区别吗?

塔沙尔·马哈詹(Tushar mahajan)

您可以仅参考stackoverflow帖子。

您需要安装jetstack cert-Manager,创建clusterissuer / issuer,以及必须通过其传递域名/主机名的证书,然后jetstack会根据您在“证书”中提到的名称自动为您创建密钥。

该秘密必须在入口规则中修补到TLS。

本文收集自互联网,转载请注明来源。

如有侵权,请联系 [email protected] 删除。

编辑于
0

我来说两句

0 条评论
登录 后参与评论

相关文章

nginx k8s入口-强制www和https?

GKE Nginx入口-分配静态IP

使用Nginx入口控制器和代理的GKE中的dotnet应用程序

HTTPS和SSL证书

入口nginx从www重定向到https

为什么我的“证书”对象和“入口”都在创建证书?

Nginx和SSL证书

在GKE中为Nginx入口配置RStudio Server服务

Kubernetes NGINX入口控制器未获取TLS证书

具有GCP的kubernetes入口的多个域和SSL证书

GKE入口超时值

kubernetes nginx入口无法将HTTP重定向到HTTPS

nginx入口-生成带有完整中间链CA证书的SSL证书时发生意外错误:无效的证书

HTTPS与Nginx和Nodejs

如何在GKE入口与其转发到的服务之间使用HTTPS?

在GKE上为NGINX入口控制器自动创建ClusterRoleBinding

GKE Nginx 入口控制器 Oauth2 代理重定向

Grafana 和 GKE 上的证书管理器

Android Studio HTTPS和SSL证书

通过客户端证书验证来保护特定的nginx入口位置

使用客户端证书身份验证的 NGINX 代理到入口控制器

kubernetes入口和https重定向的Apache无法正常工作

GKE-入口对象的配额

Kubernetes和Nginx入口控制器出现413错误

即使服务中的端口和入口正确,入口nginx如何调试502页面?

Docker nginx 自签名证书 - 无法连接到 https

Nginx和HTTPS / SSL行为

GKE Ingress for HTTPS 和 LoadBalancer for TCP 在同一后端?

入口Nginx缓存

TOP 榜单

  1. 1

    UITableView的项目向下滚动后更改颜色,然后快速备份

  2. 2

    Linux的官方Adobe Flash存储库是否已过时?

  3. 3

    用日期数据透视表和日期顺序查询

  4. 4

    应用发明者仅从列表中选择一个随机项一次

  5. 5

    Mac OS X更新后的GRUB 2问题

  6. 6

    验证REST API参数

  7. 7

    Java Eclipse中的错误13,如何解决?

  8. 8

    带有错误“ where”条件的查询如何返回结果?

  9. 9

    ggplot:对齐多个分面图-所有大小不同的分面

  10. 10

    尝试反复更改屏幕上按钮的位置 - kotlin android studio

  11. 11

    如何从视图一次更新多行(ASP.NET - Core)

  12. 12

    计算数据帧中每行的NA

  13. 13

    蓝屏死机没有修复解决方案

  14. 14

    在 Python 2.7 中。如何从文件中读取特定文本并分配给变量

  15. 15

    离子动态工具栏背景色

  16. 16

    VB.net将2条特定行导出到DataGridView

  17. 17

    通过 Git 在运行 Jenkins 作业时获取 ClassNotFoundException

  18. 18

    在Windows 7中无法删除文件(2)

  19. 19

    python中的boto3文件上传

  20. 20

    当我尝试下载 StanfordNLP en 模型时,出现错误

  21. 21

    Node.js中未捕获的异常错误,发生调用

热门标签

归档