我无法将TLS应用于我的Kubernetes群集的LoadBalancer服务的DNS名称,而且我有点不知所措。
这是我第一次使用Kubernetes以及Azure的管理容器服务。由于我无法控制的原因,此API需要在Azure的托管容器服务上运行。
群集正在Azure上使用托管容器服务(预览)运行。我按照以下步骤创建了我的环境:https://docs.microsoft.com/en-us/azure/aks/tutorial-kubernetes-deploy-cluster
我在Azure中创建了一个静态IP,用于yaml中的loadbalancer服务。此外,我使用以下命令(https://docs.microsoft.com/en-us/azure/aks/static-ip)为IP创建了myprefix.cloudapp.azure.com DNS名称
IP="XX.XX.XX.XX"
DNSNAME="myprefix"
RESOURCEGROUP=$(az network public-ip list --query "[?ipAddress!=null]|[?contains(ipAddress, '$IP')].[resourceGroup]" --output tsv)
PIPNAME=$(az network public-ip list --query "[?ipAddress!=null]|[?contains(ipAddress, '$IP')].[name]" --output tsv)
az network public-ip update --resource-group $RESOURCEGROUP --name $PIPNAME --dns-name $DNSNAME
这是我用于部署的yaml:
apiVersion: apps/v1beta1
kind: Deployment
metadata:
name: my-node-express-api-deployment
spec:
replicas: 2
strategy:
rollingUpdate:
maxSurge: 1
maxUnavailable: 1
minReadySeconds: 5
template:
metadata:
labels:
app: my-node-express-api
spec:
containers:
- name: my-node-express-api-container
image: myrepo/my-node-express-api-image:latest
ports:
- containerPort: 3000
volumes:
- name: tls
secret:
secretName: my-tls-secret
这是我的LoadBalancing服务的yaml
apiVersion: v1
kind: Service
metadata:
name: my-node-express-api-loadbalancer
spec:
loadBalancerIP: 52.176.148.91
type: LoadBalancer
ports:
- port: 80
targetPort: 3000
port: 443
targetPort: 3000
selector:
app: my-node-express-api
Yaml for secret
apiVersion: v1
kind: Secret
metadata:
name: my-tls-secret
namespace: default
data:
tls.crt: (base64 for myprefix.cloudapp.azure.com.crt)
tls.key: (base64 for myprefix.cloudapp.azure.com.key)
当我从部署中删除Secret并从LoadBalancer服务中删除端口443时,一切都在http上正常工作。
答案 0 :(得分:1)
在Azure上,如果您需要在kubernetes上终止TLS,则可以使用 Nginx Ingress控制器(现在,Microsoft使用使用应用程序网关的Azure入口控制器)。
要归档此内容,我们可以按照以下步骤进行归档:
1部署Nginx Ingress控制器
2创建TLS证书
3部署测试http服务
4配置TLS终止
有关在Azure上的kubernetes上配置用于TLS终止的Nginx入口控制器的更多信息,请参阅此blog。