Https 如何让Kubernetes入口终止SSL和代理服务?
我有一个centos7部署,kubernetes在裸机上。一切都很好。但是,我想让Https 如何让Kubernetes入口终止SSL和代理服务?,https,kubernetes,kubernetes-ingress,Https,Kubernetes,Kubernetes Ingress,我有一个centos7部署,kubernetes在裸机上。一切都很好。但是,我想让入口正常工作。因此,简而言之,我想做的是从入口中终止SSL,并在入口和我的服务之间使用纯http。这就是我所做的: 1) 我 2) 我已按照以下要求设置入口控制器: apiVersion: extensions/v1beta1 kind: DaemonSet metadata: name: nginx-ingress-controller namespace: ingress-nginx labels:
入口
正常工作。因此,简而言之,我想做的是从入口中终止SSL,并在入口和我的服务之间使用纯http。这就是我所做的:
1) 我
2) 我已按照以下要求设置入口控制器:
apiVersion: extensions/v1beta1
kind: DaemonSet
metadata:
name: nginx-ingress-controller
namespace: ingress-nginx
labels:
k8s-app: nginx-ingress-lb
kubernetes.io/cluster-service: "true"
spec:
template:
metadata:
labels:
k8s-app: nginx-ingress-lb
name: nginx-ingress-lb
spec:
hostNetwork: true
terminationGracePeriodSeconds: 60
serviceAccountName: nginx-ingress-serviceaccount
nodeSelector:
role: edge-router
containers:
- image: quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.12.0
name: nginx-ingress-lb
imagePullPolicy: Always
readinessProbe:
httpGet:
path: /healthz
port: 10254
scheme: HTTP
livenessProbe:
httpGet:
path: /healthz
port: 10254
scheme: HTTP
initialDelaySeconds: 10
timeoutSeconds: 1
# use downward API
env:
- name: POD_NAME
valueFrom:
fieldRef:
fieldPath: metadata.name
- name: POD_NAMESPACE
valueFrom:
fieldRef:
fieldPath: metadata.namespace
ports:
- containerPort: 80
hostPort: 80
- containerPort: 443
hostPort: 443
args:
- /nginx-ingress-controller
- --default-backend-service=$(POD_NAMESPACE)/default-http-backend
- --enable-ssl-passthrough
# - --default-ssl-certificate=$(POD_NAMESPACE)/tls-certificate
volumeMounts:
- name: tls-dhparam-vol
mountPath: /etc/nginx-ssl/dhparam
volumes:
- name: tls-dhparam-vol
secret:
secretName: tls-dhparam
请注意守护程序集和节点选择器。还有hostNetwork=true
,这样我的kubernetes节点将打开80和443以侦听路由)
所以我试图去,毫不奇怪,什么都没有。我刚刚得到默认后端-404
页面。我需要入口规则
3) 因此,我创建了一个ingres
规则,如下所示:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: hub
annotations:
kubernetes.io/ingress.class: "nginx"
ingress.kubernetes.io/ssl-redirect: "true"
nginx.ingress.kubernetes.io/rewrite-target: /
nginx.org/ssl-services: "hub"
spec:
tls:
- hosts:
- foo.bar.com
secretName: tls-dhparam
rules:
- host: foo.bar.com
http:
paths:
- path: /
backend:
serviceName: hub
servicePort: 8000
所以它工作得很好!。。。对于http。。。当我转到位于的节点时,我可以访问我的服务(集线器)并可以登录。然而,由于必须登录,因此只有强制使用https才有意义
所以,我的问题是,当我将浏览器切换到时,我最终会看到一个默认后端-404
页面
查看上述证书,我发现它是由kubernetes创建的:
Kubernetes Ingress Controller Fake Certificate
Self-signed root certificate
检查我的秘密:
$ kubectl -n ingress-nginx get secrets
NAME TYPE DATA AGE
default-token-kkd2j kubernetes.io/service-account-token 3 12m
nginx-ingress-serviceaccount-token-7f2sq kubernetes.io/service-account-token 3 12m
tls-dhparam Opaque 1 8m
我做错了什么?在您的示例中,您的
入口
似乎没有明确声明元数据.命名空间
。如果它在默认
命名空间中结束,而tls dhparam
Secret
在ingres nginx
命名空间中,这将是问题所在。Ingress
es的tls机密应该与Ingress
在同一名称空间中,问题是我使用pem文件似乎不起作用(并且没有与之相关的明显错误)。通过以下方式切换到tls证书/密钥
kubectl create secret tls tls-certificate --key my.key --cert my.cer
成功了