Kubernetes NGINX Ingress Controller未获取TLS证书

时间:2017-10-13 17:03:25

标签: ssl nginx kubernetes google-kubernetes-engine

我使用nginx-ingress控制器在GKE上设置了一个新的kubernetes集群。 TLS不起作用,它使用假证书。

有很多配置细节,所以我做了一个回购 - https://github.com/jobevers/test_ssl_ingress

简而言之,步骤

  • 创建没有GKE负载均衡器的新群集
  • 使用我的密钥和证书创建一个秘密
  • 创建一个nginx-ingress部署/ pod
  • 创建入口控制器

nginx-ingress配置来自https://zihao.me/post/cheap-out-google-container-engine-load-balancer/(看起来与ingress-nginx repo中的很多示例非常相似)。

我的ingress.yaml几乎与the example one

相同

当我运行curl时,我得到了

$ curl -kv https://35.196.134.52
[...]
*    common name: Kubernetes Ingress Controller Fake Certificate (does not match '35.196.134.52')
[...]
*    issuer: O=Acme Co,CN=Kubernetes Ingress Controller Fake Certificate
[...]

表明我仍在使用默认证书。

我应该如何使用我的?

Ingress definition

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: test-ssl-ingress
  annotations:
    kubernetes.io/ingress.class: "nginx"
spec:
  tls:
    - secretName: tls-secret
  rules:
  - http:
      paths:
      - path: /
        backend:
          serviceName: demo-echo-service
          servicePort: 80

Creating the secret

kubectl create secret tls tls-secret --key tls/privkey.pem --cert tls/fullchain.pem

进一步调试,证书正在服务器上找到并存在:

$ kubectl -n kube-system exec -it $(kubectl -n kube-system get pods | grep ingress | head -1 | cut -f 1 -d " ") -- ls -1 /ingress-controller/ssl/
default-fake-certificate-full-chain.pem
default-fake-certificate.pem
default-tls-secret-full-chain.pem
default-tls-secret.pem

而且,从日志中,我看到了

kubectl -n kube-system log -f $(kubectl -n kube-system get pods | grep ingress | head -1 | cut -f 1 -d " ")
[...]
I1013 17:21:45.423998       6 queue.go:111] syncing default/test-ssl-ingress
I1013 17:21:45.424009       6 backend_ssl.go:40] starting syncing of secret default/tls-secret
I1013 17:21:45.424135       6 ssl.go:60] Creating temp file /ingress-controller/ssl/default-tls-secret.pem236555242 for Keypair: default-tls-secret.pem
I1013 17:21:45.424946       6 ssl.go:118] parsing ssl certificate extensions
I1013 17:21:45.743635       6 backend_ssl.go:102] found 'tls.crt' and 'tls.key', configuring default/tls-secret as a TLS Secret (CN: [...])
[...]

但是,看看nginx.conf,它仍然使用假证书:

$ kubectl -n kube-system exec -it $(kubectl -n kube-system get pods | grep ingress | head -1 | cut -f 1 -d " ") -- cat /etc/nginx/nginx.conf | grep ssl_cert
        ssl_certificate                         /ingress-controller/ssl/default-fake-certificate.pem;
        ssl_certificate_key                     /ingress-controller/ssl/default-fake-certificate.pem;

3 个答案:

答案 0 :(得分:9)

事实证明,入口定义需要如下所示:

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: test-ssl-ingress
  annotations:
    kubernetes.io/ingress.class: "nginx"
spec:
  tls:
    - hosts:
      - app.example.com
      secretName: tls-secret
  rules:
    - host: app.example.com
      http:
        paths:
        - path: /
          backend:
            serviceName: demo-echo-service
            servicePort: 80

规则下的主机条目需要匹配tls下的一个主机条目。

答案 1 :(得分:1)

v0.30.0也面临着这个问题,事实证明,具有这样的入口配置而没有显式主机名也是可以的:

spec:
  tls:
    - secretName: ssl-certificate

在我这边,问题是我在入口上有一个注释,其中的int64值未正确解析,而在下面的注释中是定义kubernetes.io/ingress.class,因此本质上nginx找不到入口控制器在日志中正确指出的内容:

ignoring add for ingress <ingressname> based on annotation kubernetes.io/ingress.class with value

因此在注释中使用字符串可以解决此问题。

答案 2 :(得分:0)

您需要在 chrome、firefox、服务器的证书池等地方将 ROOT CA 证书添加到权限部分。

  1. 创建一个名为 /usr/share/ca-certificates/extras 的目录
  2. .pem 文件的扩展名更改为 .crt 并将此文件复制到 您创建的目录
  3. 运行sudo dpkg-reconfigure ca-certificates
  4. 在打开的窗口中,先按回车键,然后选择你想要的文件 添加到用空格键出现的列表中,然后再次按回车

您的计算机现在将自动识别您使用此证书生成的其他证书。