无法将SSL证书应用于Kubernetes上的Kubernetes LoadBalancing服务

时间:2018-04-05 19:00:36

标签: azure kubernetes azure-container-service kubernetes-ingress azure-kubernetes

问题

我无法将TLS应用于我的Kubernetes群集的LoadBalancer服务的DNS名称,而且我有点不知所措。

这是我第一次使用Kubernetes以及Azure的管理容器服务。由于我无法控制的原因,此API需要在Azure的托管容器服务上运行。

环境

群集正在Azure上使用托管容器服务(预览)运行。我按照以下步骤创建了我的环境:https://docs.microsoft.com/en-us/azure/aks/tutorial-kubernetes-deploy-cluster

我在Azure中创建了一个静态IP,用于yaml中的loadbalancer服务。此外,我使用以下命令(https://docs.microsoft.com/en-us/azure/aks/static-ip)为IP创建了myprefix.cloudapp.azure.com DNS名称

IP="XX.XX.XX.XX"

DNSNAME="myprefix"

RESOURCEGROUP=$(az network public-ip list --query "[?ipAddress!=null]|[?contains(ipAddress, '$IP')].[resourceGroup]" --output tsv)

PIPNAME=$(az network public-ip list --query "[?ipAddress!=null]|[?contains(ipAddress, '$IP')].[name]" --output tsv)

az network public-ip update --resource-group $RESOURCEGROUP --name $PIPNAME --dns-name $DNSNAME

部署

这是我用于部署的yaml:

apiVersion: apps/v1beta1 kind: Deployment metadata: name: my-node-express-api-deployment spec: replicas: 2 strategy: rollingUpdate: maxSurge: 1 maxUnavailable: 1 minReadySeconds: 5 template: metadata: labels: app: my-node-express-api spec: containers: - name: my-node-express-api-container image: myrepo/my-node-express-api-image:latest ports: - containerPort: 3000 volumes: - name: tls secret: secretName: my-tls-secret

服务

这是我的LoadBalancing服务的yaml

apiVersion: v1 kind: Service metadata: name: my-node-express-api-loadbalancer spec: loadBalancerIP: 52.176.148.91 type: LoadBalancer ports: - port: 80 targetPort: 3000 port: 443 targetPort: 3000 selector: app: my-node-express-api

的秘密

Yaml for secret

apiVersion: v1 kind: Secret metadata: name: my-tls-secret namespace: default data: tls.crt: (base64 for myprefix.cloudapp.azure.com.crt) tls.key: (base64 for myprefix.cloudapp.azure.com.key)

注意:

当我从部署中删除Secret并从LoadBalancer服务中删除端口443时,一切都在http上正常工作。

1 个答案:

答案 0 :(得分:1)

在Azure上,如果您需要在kubernetes上终止TLS,则可以使用 Nginx Ingress控制器(现在,Microsoft使用使用应用程序网关的Azure入口控制器)。

要归档此内容,我们可以按照以下步骤进行归档:
1部署Nginx Ingress控制器
2创建TLS证书
3部署测试http服务
4配置TLS终止

有关在Azure上的kubernetes上配置用于TLS终止的Nginx入口控制器的更多信息,请参阅此blog