k8s学习笔记——traefik tls设置

已于 2024-08-09 14:42:02 修改
阅读量1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 网管笔记 文章标签: 云原生
于 2021-08-15 21:45:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/shell811127/article/details/119720655
本文详细介绍了如何在k8s环境中使用traefik配置TLS,包括生成证书、设置ingress中的tls信息以及在helm项目中启用https服务。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

//生成证书密钥,参考使用openssl 生成免费证书 - 龙恩0707 - 博客园

openssl genrsa -out tls.key 2048  //生成客户端密钥

openssl req -new -key client.key -out tls.csr //生成请求文件
//这里需要填写一些信息,其他的都不重要,关键在
//Common Name (eg, fully qualified host name) []:这个项填写的域名地址可以是一级域名还可以是二级域名,但域名必须和要设置https服务的域名一致

openssl x509 -req -days 365 -in tls.csr -signkey tls.key -out tls.crt //签发ca验证

//将证书设置成secret k8s 中ingress可读取的资源形式
kubectl create secret generic client-cert \
        --from-file=tls.crt \
        --from-file=tls.key -n client-namespace

//在ingress中设置tls证书信息

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: ingress-tomcat
  namespace: default
spec:
  ingressClassName: "traefik"
  tls:
  - secretName: shell-com-cert
  rules:
  - host: tomcat.shell.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: tomcat
            port:
              name: http

//查看
//kubectl get ingress
NAME             CLASS     HOSTS                  ADDRESS   PORTS     AGE
ingress-nginx    traefik   nginx-test.shell.com             80        44h
ingress-tomcat   traefik   tomcat.shell.com                 80, 443   44h
//可以看到暴露的443端口,当然这里也可将https服务设置成别的端口

只要把helm项目里values.yaml文件中的 tls设置为true就可以正常开启https

websecure:
    port: 8443
    # hostPort: 8443
    expose: true
    exposedPort: 443
    # The port protocol (TCP/UDP)
    protocol: TCP
    # nodePort: 32443
    # Set TLS at the entrypoint
    # https://doc.traefik.io/traefik/routing/entrypoints/#tls
    tls:
      enabled: true
      # this is the name of a TLSOption definition
      options: ""
      certResolver: ""
      domains: []
      # - main: example.com
      #   sans:
      #     - foo.example.com
      #     - bar.example.com

71、边缘计算与面向能力的架构设计
info6的博客
05-23 26
本文深入探讨了边缘计算的基础、关键特性和设计模式,以及如何通过面向能力的架构(COA)来优化边缘计算环境。文章涵盖了从边缘到云的设计模式、云到边缘的设计模式,到在边缘运行Kubernetes集群的方法,再到边缘原生应用的设计原则。此外,还详细介绍了COA的应用场景和关键概念,展示了如何利用COA打破应用程序界限,创建动态获取新能力的智能应用,从而实现更高效和健壮的边缘解决方案。
Kubernetes设定之TLS客户端访问
知行合一 止于至善
04-01 2290
使用TLS方式进行访问时,在客户端需要将证书进行导入才能进行访问,这篇文章通过具体示例进行简单说明。
traefik TLS认证配置
zhangshaohuas的博客
09-07 3522
在现在大部分场景下面我们都会使用 https 来访问我们的服务,这节课我们将使用一个自签名的证书,当然你有在一些正规机构购买的 CA 证书是最好的,这样任何人访问你的服务的时候都是受浏览器信任的证书。 一:使用下面的 openssl 命令生成 CA 证书: openssl req -newkey rsa:2048 -nodes -keyout tls.key -x509 -days 365 -out tls.crt [root@k8s-master traefik]# ll 总用量 16 -rw-r--
k8s traefik ingress tls
weixin_30819163的博客
09-05 216
使用下面的 openssl 命令生成 CA 证书: $ openssl req -newkey rsa:2048 -nodes -keyout tls.key -x509 -days 365 -out tls.crt 现在我们有了证书,我们可以使用 kubectl 创建一个 secret 对象来存储上面的证书: $ kubectl create secret generic t...
云原生数据加密:传输层TLS深度指南
最新发布
like21a的博客
06-22 789
TLS云原生中不是可选项,而是基础设施。通过自动化工具+严格策略,可构建“默认安全”的通信层。下一步建议实践Cert-Manager证书签发及Istio mTLS配置,感受零信任网络的实现细节。🚧 您已阅读完全文99%!缺少1%的关键操作:加入「炎码燃料仓」🚀 获得:√ 开源工具红黑榜√ 项目落地避坑指南√ 每周BUG修复进度+1%彩蛋(温馨提示:本工坊不打灰工,只烧脑洞🔥)
TraefikTLS配置
weixin_30650859的博客
04-16 503
生产环境的部署大多采用F5+ Traefik这种方式,因为Traefik的SSL方式相对来说比较慢,因此SSL更多的在F5上开放,而F5到Traefik之间以及后端都是http方式。 但客户需要在开发和测试环境直接用SSL,因此需要配置。 遇到一些小坑,记录一下理解 先生成一个secret,记住别搞个一年就过期的啊。 openssl req...
基于 Traefik 的激进 TLS 安全配置实践
east4ming的博客
12-24 1333
前言 Traefik是一个现代的HTTP反向代理和负载均衡器,使部署微服务变得容易。 Traefik可以与现有的多种基础设施组件(Docker、Swarm模式、Kubernetes、Marathon、Consul、Etcd、Rancher、Amazon ECS...)集成,并自动和动态地配置自己。 今天我们基于 Traefik on K8S 来详细说明如何对 TLS 安全进行「激进」配置。 环境基本信息 K8S 集群; 域名:ewhisper.cn(由 DNSPod 进行 DNS 管理,已指向 K8S
k8s中部署traefik并开启https支持
分享各种技术
05-17 2584
k8s中部署traefik并开启https
k8s笔记
xdznb_的博客
09-08 3635
文章目录Kubernetes认识Kubernetes(均摘自官网)1 、是什么2、为什么需要K8s3 k8s 能做什么?4 k8s 不是什么?组件&架构集群组件1 Core Componets(核心组件)1.1 Control Plane Components(控制平面组件)1.2 Node 组件1.3 插件 (Addons)集群架构详细集群搭建minikube裸机安装1 集群规划2 设置主机名3 同步 hosts 文件4 关闭防火墙5 关闭 SELINUX6 关闭 swap 分区7 同步时间8 安
k8s traefik ingress 实践
Juwenzhe_HEBUT的博客
04-19 2356
一.Kubernetes Nginx Ingress Controller组件 很难下载镜像,转而使用traefik 二.安装traefik及使用 1.整体思路:-> 先给k8s安装一个核心附件:traefik-ingress-controller -> 接下来就是建立 pod + deployment + svc-ingress (关联svc的资源) -> ingres...
traefik设置证书 https访问
weixin_42562106的博客
06-14 1184
1 生成证书 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout n1.key -out n1.crt kubectl create secret tls mytls --cert=n1.crt --key=n1.key (也可以使用) kubectl create secret generic mytls --from-file=n1.crt --from-file=n1.key cat<<END>myt..
[kubernetes]-helm安装traefik
爷来辣的博客
04-25 1532
链接: https://pan.baidu.com/s/1j8liEMtaNQKcNQySbsNQhA 密码: crhl 开启hostnetwork 给节点打上ingress=traefik的标签 kubectl label node op-jmx-n01 ingress=traefik 安装部署 kubectl create ns traefik-ingress cd /srv/stuy/k201-master/charts/traefik helm install traefik -n traef
k8s 创建密钥以及证书安装
张震--golang
12-18 672
【代码】k8s 创建密钥以及证书安装。
traefik之ingressclass详解
weixin_44257754的博客
07-17 472
使用,其实这种ingressclass也是通过绑定traefik controller去实现用哪一个ingress controller。在学习traefik过程中,我一直对ingressclass有点不理解,经查阅资料有了自己的理解。是k8s资源ingressclass,它配合ingress资源里。在我看来,traefik的ingressclass分为两种。是traefik启动所加参数,它的使用更像标签和标签选择器。因为我自己实际进行了测试,我traefik启动时加了。
Kubernetes traefik tls证书到期替换
saynaihe的博客
06-21 1182
背景: ssl证书都是一年签发的。到了六月份了一年一度的证书替换的日子到了…。过去的方法一直都是先delete secret,然后继续创建一个新的。这次就突发奇想的,还有其他方法吗…百度了一下还真的搜索到了: https://blog.youkuaiyun.com/cyxinda/article/details/107854881 我的证书是在腾讯云上面购买的 TrustAsia 域名型(DV)通配符(1 年)的 ssl证书。 考虑到成本毕竟申请的dv的泛域名证书。关于dv ov证书的区别: 此图片来源于网络 ​
详解 helm 部署 traefik
天行健,君子以自强不息;地势坤,君子以厚德载物。
10-23 595
traefik-helm-chart目录创建一个定制的 values 配置文件(备注:如果不熟悉配置可以使用官方默认的配置文件)。
k8s---使用ingress配置域名转发时的traefik路径规则详解
热门推荐
直到世界的尽头
02-25 1万+
ingress中traefik的使用方式如下: apiVersion: extensions/v1beta1 kind: Ingress metadata: name: spark-client-test namespace: default annotations: kubernetes.io/ingress.class: traefik traefik.fronte...
helm部署traefikk8s
富贵的博客
10-09 3916
##环境及要求 Kubernetes Version:1.18.5 单机版(in MacBook pro) Docker Version:ce-19.03 traefik搭建要求: Kubernetes 1.14+ Helm version 3.x is installed ##部署步骤 helm repo add traefik https://helm.traefik.io/traefik helm repo update helm install traefik traefik/tra
Kubernetes应用中使用TLS/SSL证书的两种方法及实践 详细整理版
且炼时光
08-27 8408
k8s应用注入自签发的TLS/SSL证书有两种思路:1.使用certificates.k8s.io API 进行签发。2. 自己生成CA证书进行签发,将所需的证书及公密钥打包进secret。本文将对这两种方法进行比较并动手实践。 文章目录零 获取自签发CA根证书1. 准备好openssl工具2. 创建 CA证书签名申请 配置文件(ca-csr-config.json)3. 生成 CA密钥及证书一 certificates.k8s.io API签发1 配置kubernetes使用自定义的CA根证书二 使用自
k8s创建ingress的tls
02-12
### 如何在 Kubernetes 中为 Ingress 设置 TLS 证书和加密 为了确保通过 Ingress 访问应用程序的安全性,可以通过配置 Transport Layer Security (TLS) 来实现数据传输的加密。这通常涉及到创建自签名证书或获取由受信任的证书颁发机构(CA)签发的证书。 #### 创建 TLS 秘钥和证书文件 首先需要准备服务器私钥(`server-key.pem`) 和对应的公钥证书 (`server-cert.pem`). 这些文件可以在本地生成或者从 CA 获取. #### 将 TLS 文件转换成 Secret 对象 使用 `kubectl create secret` 命令来创建一个包含上述两个文件内容的秘密对象(secret),该命令会将指定路径下的 `.pem` 文件作为 base64 编码后的字符串存储到 K8S 集群中: ```bash $ kubectl create secret tls my-tls-secret \ --cert=path/to/tls.crt \ --key=path/to/tls.key ``` 此操作会在默认命名空间下创建名为 `my-tls-secret` 的秘密资源[^1]. #### 修改 Ingress 资源定义以支持 HTTPS 协议 编辑现有的 ingress.yaml 或者新建一个 YAML 文件,在其中添加如下字段: ```yaml apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: name: example-ingress spec: tls: - hosts: - "example.com" secretName: my-tls-secret # 使用之前创建的秘密名称 rules: - host: "example.com" http: paths: - path: / backend: serviceName: web-service servicePort: 80 ``` 这段代码指定了当访问带有特定域名(如 `"example.com"`)请求时应匹配哪个后端服务,并关联了前面提到过的 TLS 密钥/证书组合. 完成以上步骤之后就可以提交更新给 API Server 并等待控制器应用更改了。一旦成功部署并生效,则所有针对所配置域名为前缀 URL 的流量都将被强制重定向至 HTTPS 方式连接.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值