我使用nginx-ingress控制器在GKE上设置了一个新的kubernetes集群。 TLS不起作用,它使用假证书。
有很多配置细节,所以我做了一个回购 - https://github.com/jobevers/test_ssl_ingress
简而言之,步骤
nginx-ingress配置来自https://zihao.me/post/cheap-out-google-container-engine-load-balancer/(看起来与ingress-nginx repo中的很多示例非常相似)。
我的ingress.yaml几乎与the example one
相同当我运行curl时,我得到了
$ curl -kv https://35.196.134.52
[...]
* common name: Kubernetes Ingress Controller Fake Certificate (does not match '35.196.134.52')
[...]
* issuer: O=Acme Co,CN=Kubernetes Ingress Controller Fake Certificate
[...]
表明我仍在使用默认证书。
我应该如何使用我的?
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: test-ssl-ingress
annotations:
kubernetes.io/ingress.class: "nginx"
spec:
tls:
- secretName: tls-secret
rules:
- http:
paths:
- path: /
backend:
serviceName: demo-echo-service
servicePort: 80
kubectl create secret tls tls-secret --key tls/privkey.pem --cert tls/fullchain.pem
进一步调试,证书正在服务器上找到并存在:
$ kubectl -n kube-system exec -it $(kubectl -n kube-system get pods | grep ingress | head -1 | cut -f 1 -d " ") -- ls -1 /ingress-controller/ssl/
default-fake-certificate-full-chain.pem
default-fake-certificate.pem
default-tls-secret-full-chain.pem
default-tls-secret.pem
而且,从日志中,我看到了
kubectl -n kube-system log -f $(kubectl -n kube-system get pods | grep ingress | head -1 | cut -f 1 -d " ")
[...]
I1013 17:21:45.423998 6 queue.go:111] syncing default/test-ssl-ingress
I1013 17:21:45.424009 6 backend_ssl.go:40] starting syncing of secret default/tls-secret
I1013 17:21:45.424135 6 ssl.go:60] Creating temp file /ingress-controller/ssl/default-tls-secret.pem236555242 for Keypair: default-tls-secret.pem
I1013 17:21:45.424946 6 ssl.go:118] parsing ssl certificate extensions
I1013 17:21:45.743635 6 backend_ssl.go:102] found 'tls.crt' and 'tls.key', configuring default/tls-secret as a TLS Secret (CN: [...])
[...]
但是,看看nginx.conf,它仍然使用假证书:
$ kubectl -n kube-system exec -it $(kubectl -n kube-system get pods | grep ingress | head -1 | cut -f 1 -d " ") -- cat /etc/nginx/nginx.conf | grep ssl_cert
ssl_certificate /ingress-controller/ssl/default-fake-certificate.pem;
ssl_certificate_key /ingress-controller/ssl/default-fake-certificate.pem;
答案 0 :(得分:9)
事实证明,入口定义需要如下所示:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: test-ssl-ingress
annotations:
kubernetes.io/ingress.class: "nginx"
spec:
tls:
- hosts:
- app.example.com
secretName: tls-secret
rules:
- host: app.example.com
http:
paths:
- path: /
backend:
serviceName: demo-echo-service
servicePort: 80
规则下的主机条目需要匹配tls下的一个主机条目。
答案 1 :(得分:1)
v0.30.0
也面临着这个问题,事实证明,具有这样的入口配置而没有显式主机名也是可以的:
spec:
tls:
- secretName: ssl-certificate
在我这边,问题是我在入口上有一个注释,其中的int64
值未正确解析,而在下面的注释中是定义kubernetes.io/ingress.class
,因此本质上nginx找不到入口控制器在日志中正确指出的内容:
ignoring add for ingress <ingressname> based on annotation kubernetes.io/ingress.class with value
因此在注释中使用字符串可以解决此问题。
答案 2 :(得分:0)
您需要在 chrome、firefox、服务器的证书池等地方将 ROOT CA 证书添加到权限部分。
您的计算机现在将自动识别您使用此证书生成的其他证书。