Ingress Nginx 配置ssl双向认证
记录一下在 kuberentes 下使用 ingress-nginx 来配置 ssl 双向认证,可以参考其他几篇文章:
使用certbot自动申请ssl证书
创建 CA 证书
执行以下命令,创建自签的 CA 证书。
1 | openssl req -x509 -sha256 -newkey rsa:4096 -keyout ca.key -out ca.crt -days 3650 -nodes -subj '/CN=Fern Cert Authority' |
生成 server 证书
这里可以使用公共的 CA 签发的证书, 比如各大云服务商购买的证书。下面是自签证书的步骤。
生成 Server 端证书的请求文件
1 | openssl req -new -newkey rsa:4096 -keyout server.key -out server.csr -nodes -subj '/CN=foo.bar.com' |
使用根证书签发 Server 端请求文件,生成 Server 端证书
1 | openssl x509 -req -sha256 -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt |
配置到 ingress 里
1 | kubectl create secret tls foo-bar-com --cert=server.crt --key=server.key |
1 | apiVersion: networking.k8s.io/v1beta1 |
生成 client 证书
生成 Client 端证书的请求文件
双向认证一般都是别人使用自己的 key 生成 csr 给到我们, 然后我们用 CA 签名证书,然后将签名后的证书给到别人,后续别人使用证书和自己的私钥就可以访问服务。
1 | openssl req -new -newkey rsa:4096 -keyout client.key -out client.csr -nodes -subj '/CN=Fern' |
生成 client 端证书
执行以下命令,使用根证书签发 Client 端请求文件,生成 Client 端证书。
1 | openssl x509 -req -sha256 -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 02 -out client.crt |
配置双向认证
创建 secret
1 | kubectl create secret generic ca-secret --from-file=ca.crt=ca.crt |
1 | apiVersion: networking.k8s.io/v1beta1 |
测试访问
1 | # 自签server证书也可以增加 --cacert ca.crt 参数指定ca证书,客户端也是信任的 |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 杂烩饭!
相关推荐
2024-10-31
使用Keepalived来实现Nginx高可用
公有云不会考虑这些,不过自建机房,使用 nginx 做入口,keepalived 是唯一的选择。 节点 IP keepalived 主 10.0.0.45 keepalived 备 10.0.0.44 vip 10.0.0.46 组播模式keepalived1keepalived2123456789101112131415161718192021222324252627282930313233global_defs { script_user root # 脚本执行者 enable_script_security # 标记脚本安全}vrrp_script check_script { script "killall -0 nginx" # 脚本路径, 返回值为0则正常,不为0认为不正常 # 可替代的命令: # /usr/sbin/pidof nginx 这个命令不推荐, 多个进程pid会出问题 #...
2024-10-31
使用Nginx反向代理域名
需求如下:研发代码里写死了地址 https://b.com 现在在不想发布新代码的情况下修改地址为 https://a.com 手动增加反向代理的 header先 ping a.com 获取到服务器的 ip 所以临时在 pod 里面新增了 nginx 服务,配置如下,由于是代理 https 服务,还需要配置 ssl 证书,刚好有证书。。。 1234567891011121314151617181920212223server { listen 80; listen [::]:80; listen 443 ssl; listen [::]:443 ssl; ssl_certificate /etc/nginx/ssl.crt; ssl_certificate_key /etc/nginx/ssl.key; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ...
2024-10-31
Ingress Nginx 的灰度方案
在 k8s 环境下进行灰度,ingress-nginx 自带了灰度注解, 这篇文章挺详细的https://v2-1.docs.kubesphere.io/docs/zh-CN/quick-start/ingress-canary/ 再此之前有个需求, 根据请求 header 有没有特定的值,来判断是否进入灰度环境。当时的做法是在集群内用 nginx 12345# 如果有个header叫grayif ($http_gray = "true") { proxy_pass http://nginx.test1:80; break;} 这种方式可以实现需求, 不过不灵活, 也不优雅, 搜了一下, 发现 ingress nginx 原生提供了灰度的方案 ingress 自带 canary 部署简单来说就是部署了两套环境, 这两套一模一样, 只是在不同的 namespace(同一个 namespace 需要取不同的名字),service 和 ingress 域名都配置成一样的, 然后在 canary 环境的 ingress...
2024-10-31
Kubernetes之ingress-nginx安装配置
部署 ingress-nginx ingress-nginx 官方文档 https://kubernetes.github.io/ingress-nginx/deploy/#bare-metal-clusters自建的 Kubernetes 可以参数 bare-metal 安装 1kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-v1.1.2/deploy/static/provider/baremetal/deploy.yaml 部署成功后修改 NodePort,把里面 30xxx 的端口换成你想要的端口 1kubectl edit service ingress-nginx-controller -n ingress-nginx 也可以 wget...
2024-10-31
Nginx Ingress 定义多种日志格式
生产环境有个项目需要打开 nginx 日志的 request_body 日志记录,但是如果把默认的日志格式改掉的话,日志量就太大了,所以查了一下针对某个域名进行搜集不同的日志。 k8s 的 ingress 其实就是 nginx 封装了一层,所以 nginx 可以做的,ingress 也都可以做,nginx 我们知道可以定义不同的日志格式,然后不同的虚拟主机来引用就好了。先查看文档,发现了 nginx-ingress 有一个叫 http-snippet 的参数,意思就是在 http 块下面增加一段原生的 Nginx 配置 在 configmap 里面增加一个新的日志格式配置我们可以在 ingress-nginx 的 configmap 里面添加一个新的日志格式: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647kind: ConfigMapapiVersion: v1metadata: name: ingress-nginx-controller ...
2024-10-31
在Kubernetes集群中部署多个Nginx Ingress Controller
为什么要在集群中部署两个 Nginx Ingress Controller? 因为公司的入口目前是在一个 Ingress 上, 公网域名也解析到了这个 Ingress Controller 上面,不过有些内网的服务,我们并不想让它暴露在外,那么可以再部署一个内网使用的 Ingress Controller。 官方介绍地址:https://kubernetes.github.io/ingress-nginx/user-guide/multiple-ingress/ 我准备将这两个 ingressclass 放在两个 namespace 里面。 先抽出 clusterrole 和 clusterrolebinding因为可以使用一个 clusterrole,没必要每个 ingress controller 都创建...
评论
公告
此博客为我记录运维工作总结所用,供网友阅读参考,如有侵权,请通知我,我会核实后进行处理。
欢迎加入技术交流群:
