我正在研究如何在Nginx入口之间实现https安全连接-
以下是我的场景:
所以我的问题是,如何保护入口控制器和pod之间的通信,以便对通信进行端到端加密?我是否需要自己的证书颁发机构才能做到这一点?如果有,是否有任何开源解决方案可以像Cert manager一样处理证书管理?
将let's加密替换为aws证书,因为它们是免费的。验证您在集群中使用的域,然后编辑入口html" target="_blank">控制器的主服务。如果您使用aws,可以使用此注释。
注解:service.beta.kubernetes.io/aws-load-balancer-ssl-cert:"arn: aws: acm: XXXXXXXX"service.beta.kubernetes.io/aws-load-balancer-backend-protocol:"超文本传输协议"service.beta.kubernetes.io/aws-load-balancer-ssl-ports:"https"service.beta.kubernetes.io/aws-load-balancer-connection-idle-timeout:"60"service.beta.kubernetes.io/aws-load-balancer-ssl-negotiation-policy:"ELBSecurityPolity-TLS-1-2-2017-01"
1、Nginx入口控制器DAPR
我不确定我是否可以在这里发布youtube网址(至少我从未见过任何人这样做),但是...我认为这100%正是您想要的。您的场景在第一个主题中讨论过,您只需要观看它。此外,作为一个好处-您将在那里看到分步安装。就我个人而言,我发现该视频非常有用
安全入口吊舱通信
2、你可以通过Istio本身来实现这一点。Istio示例!:安全入口
3. Istio Calico的Istio网络政策
强制Istio的网络策略
对Istio service mesh的Calico支持具有以下好处:
-Pod交通管制
允许您限制POD内外的入侵流量,并减轻对启用Istio的应用程序的常见威胁。
-支持安全目标
支持采用零信任网络模型来实现安全性,包括流量加密、多个实施点和用于身份验证的多个身份标准。
我的公司有一个伪造的CA证书。实例com和一张伪造地图的唱片。实例com连接到我们的负载平衡器的IP 负载平衡器正在将流量转发到我们的Kubernetes群集。 在集群中,我部署了nginx ingress helm图表,在30200处公开了https节点端口 我根据上述证书创建了一个名为test secret的k8s TLS机密。 我部署了一个带有服务“test”的应用程序,并安装了以下入口:
我假设没有愚蠢的问题,所以这里有一个我找不到直接答案的问题。 现在的情况 我目前有一个运行1.15的Kubernetes集群。AKS上的x,通过Terraform部署和管理。AKS最近宣布Azure将在AKS上停用Kubernetes的1.15版本,我需要将集群升级到1.16或更高版本。现在,据我所知,直接在Azure中升级集群不会对集群的内容产生任何影响,即节点、豆荚、秘密和当前在那里的所有其他
我试图设置Kubernetes入口,将外部http流量路由到前端pod(路径/)和后端pod(路径/rest/*),但我总是得到400错误,而不是主nginx索引。html。 所以我在第https://cloud.google.com/kubernetes-engine/docs/tutorials/http-balancer页尝试了谷歌库伯内特斯的例子,但我总是得到400个错误。有什么想法吗?
我正在尝试使用helm图表部署我的应用程序。我已经将statefulSet定义为一种正在部署的类型。yaml并根据规范serviceName提供无头服务。来自部署的代码片段。yaml如下所示。 部署后,当我启动“kubectl get pods”时,其显示的POD名称为“MyApp-100-deployment-n”,其中n 如果我使用kubectl exec进入Pod,并触发“主机名”命令,我会
我正在Kubernetes集群中运行2个服务。 价格SVC 服务以“ClusterIP”类型部署,入口(netcalar)位于服务前面。 调度运行良好,我可以从库伯内特斯集群外部访问调度。 现在,尝试从pricesvc访问计划vc。我可以使用ClusterIP服务endpoint或入口。由于我计划在多个数据中心运行库伯内特斯集群,因此我将在DC的Active/Active中运行我的应用程序,因此我
我正在为2个服务一起创建一个ALB,带有注释:merged。这行不通。我在日志中也看不到太多操作。我做错了什么?工作节点具有AWS文档中提到的ALB入口策略(还添加了以下策略)。Kubernetes并没有抱怨,但ingress服务并没有得到地址,也并没有创建ALB或目标组。 ALB控制器: ALB入口服务: IAM政策: 如您所见,没有可用的地址。