Kubernetes EKS入口和TLS
我正在尝试为应用程序完成一项非常常见的任务:
分配证书并使用TLS/HTTPS对其进行保护。
我花了将近一天的时间搜索留档,尝试多种不同的策略来让它发挥作用,但没有什么对我有用。
最初,我使用Helm在EKS上设置nginx ingress,方法如下:https://github.com/nginxinc/kubernetes-ingress.我尝试使用以下配置使示例应用程序工作(cafe):
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: cafe-ingress
spec:
tls:
- hosts:
- cafe.example.com
secretName: cafe-secret
rules:
- host: cafe.example.com
http:
paths:
- path: /tea
backend:
serviceName: tea-svc
servicePort: 80
- path: /coffee
backend:
serviceName: coffee-svc
servicePort: 80
入口和所有支持的服务/部署工作正常,但缺少一件主要的事情:入口没有关联的地址/ELB:
NAME HOSTS ADDRESS PORTS AGE
cafe-ingress cafe.example.com 80, 443 12h
服务负载平衡器创建ELB资源,即:
testnodeapp LoadBalancer 172.20.4.161 a64b46f3588fe... 80:32107/TCP 13h
但是,入口没有创建地址。如何在EKS上外部公开入口控制器来处理TLS/HTTPS?
共有2个答案
要使入口资源正常工作,群集必须配置入口控制器。
这与其他类型的控制器不同,后者通常作为库贝-Controler-Manager二进制文件的一部分运行,并且通常作为集群创建的一部分自动启动。
对于EKS with helm,您可以尝试:
helm registry install quay.io/coreos/alb-ingress-controller-helm
接下来,配置入口资源:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: test-ingress
annotations:
kubernetes.io/ingress.class: nginx
kubernetes.io/tls-acme: 'true'
spec:
rules:
- host: YOUR_DOMAIN
http:
paths:
- path: /
backend:
serviceName: ingress-example-test
servicePort: 80
tls:
- secretName: custom-tls-cert
hosts:
- YOUR_DOMAIN
应用配置:
kubectl create -f ingress.yaml
接下来,使用TLS证书创建机密:
kubectl create secret tls custom-tls-cert --key /path/to/tls.key --cert /path/to/tls.crt
并在入口定义中引用:
tls:
- secretName: custom-tls-cert
hosts:
- YOUR_DOMAIN
以下配置示例显示了如何配置入口控制器:
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: nginx-ingress-controller
labels:
k8s-app: nginx-ingress-controller
spec:
replicas: 1
selector:
matchLabels:
k8s-app: nginx-ingress-controller
template:
metadata:
labels:
k8s-app: nginx-ingress-controller
spec:
# hostNetwork makes it possible to use ipv6 and to preserve the source IP correctly regardless of docker configuration
# however, it is not a hard dependency of the nginx-ingress-controller itself and it may cause issues if port 10254 already is taken on the host
# that said, since hostPort is broken on CNI (https://github.com/kubernetes/kubernetes/issues/31307) we have to use hostNetwork where CNI is used
# like with kubeadm
# hostNetwork: true
terminationGracePeriodSeconds: 60
containers:
- image: quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.17.1
name: nginx-ingress-controller
readinessProbe:
httpGet:
path: /healthz
port: 10254
scheme: HTTP
livenessProbe:
httpGet:
path: /healthz
port: 10254
scheme: HTTP
initialDelaySeconds: 10
timeoutSeconds: 1
ports:
- containerPort: 80
hostPort: 80
- containerPort: 443
hostPort: 443
env:
- name: POD_NAME
valueFrom:
fieldRef:
fieldPath: metadata.name
- name: POD_NAMESPACE
valueFrom:
fieldRef:
fieldPath: metadata.namespace
args:
- /nginx-ingress-controller
- --default-backend-service=$(POD_NAMESPACE)/default-http-backend
- --publish-service=$(POD_NAMESPACE)/nginx-ingress-lb
接下来,应用上述配置,然后可以检查服务是否暴露了外部IP:
kubectl get service nginx-controller -n kube-system
外部IP是一个地址,它终止于由外部配置的路由机制配置的Kubernetes节点之一。在服务定义中配置时,一旦请求到达节点,流量就会html" target="_blank">重定向到服务endpoint。
Kubernetes的文档提供了更多示例。
我已经复制了在EKS上使用安全入口启动和运行所需的每个步骤。我希望这能帮助其他希望快速、安全地在EKS上获得应用程序的人。
要在EKS上启动并运行:
>
在此处使用CloudForm模板部署EKS:请记住,我已经限制了对CidrIp:193.22.12.32/32.的访问。
安装客户端工具。按照此处的指南进行操作。
您可以验证集群是否已启动并正在运行,并且您正在通过运行指向它:
kubectl获取svc
现在,使用nginx入口启动一个测试应用程序。
注意:所有内容都放在ingres-nginx命名空间下。理想情况下,这将被模板化以在不同的命名空间下构建,但就本示例而言,它是有效的。
部署nginx入口:
kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/mandatory.yaml
kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/provider/cloud-generic.yaml
获取rbac。从这里开始。运行时间:
kubectl应用-frbac.yml
准备好证书和密钥以供测试。创建必要的秘密,如下所示:
创建的秘密TLS咖啡馆秘密--keymycert.key--certmycert.crt-n ingress-nginx
从这里复制coffee.yml。从这里复制coffee-ingress.yml。更新您要运行它的域。像这样运行它们
kubectl apply -f coffee.yaml
kubectl apply -f coffee-ingress.yaml
更新域的CNAME以指向以下地址:
kubectl获取ing-n入口-nginx-o宽
刷新DNS缓存并测试域。您应该获得一个包含请求统计信息的安全页面。我已经重复了多次,所以如果它对您无效,请检查步骤、配置和证书。此外,检查nginx入口控制器*吊舱上的日志。
kubectl日志pod/nginx-ingress-控制器-*********** -n ingress-nginx
这应该会给你一些错误的指示。
-
GKE入口可以与Google的托管SSL证书一起使用。这些证书被部署在负载均衡器的边缘服务器中,这导致了非常低的TTFB(到第一个字节的时间) GKE入口有什么问题
-
在使用用户画像+服务之前,请先检查用户所在的用户组是否具有BIGDATA服务的权限。具体方法是:打开用户管理,检查用户组绑定的角色中是否拥有如下权限。 如果用户属于多个用户组,请保证所属的用户组中至少有一个拥有该权限。 如果没有权限,请联系您所在企业的生态云管理员为该用户所属的用户组添加BIGDATA权限。具体方法有两种: 创建新角色(role),并为该角色绑定BIGDATA服务的权限;将该角色绑
-
我有一个关于库伯内特斯·安格拉斯的简短问题。我在单个集群中拥有Nginx入口控制器和AWS ALB入口控制器以及Nginx和AWS ALB入口资源。这两个入口资源都指向单个服务和部署文件,这意味着这两个入口资源都指向相同的服务。然而,当我点击Nginx入口URL时,我能够看到所需的页面,但是使用AWS ALB入口,我只能看到apache默认页面。我知道这听起来不太实际,但我正在尝试用这两种入口资源
-
我有以下入口设置: 当我点击时,我被重定向到,并带有NGINX 404未找到。 根据日志,可以看到< code>grafana窗格被查询命中: logger = context traceID = 0000000000000000000000000000 userId = 0 orgId = 0 uname = t = 2022-10-13t 16:19:57.989170173 z level
-
如果我在Google App Engine上创建应用程序,我会对通过我的应用程序实例传输到Google Cloud Storage和从Google Cloud Storage传输的数据产生进出费用吗? 文件似乎表明,使用GCS客户端库时不会产生此类费用。但是,我想使用Go-on应用程序引擎。据我所知,Go没有GCS客户端库,因此我将使用云存储REST API。 非常感谢。
-
在产品阶段,electron-vue 使用 html-webpack-plugin 创建 index.html。在开发过程中,你将在 src/ 目录中找到一个 index.ejs。在这里,你可以更改 HTML 入口文件。 如果你不熟悉这个插件的工作原理,那么我鼓励你看看它的 文档。简而言之,这个插件会自动将产品阶段的资源(包括 renderer.js 和 styles.css)注入到最终压缩版的