我已经将我的Kubernetes配置为使用cert-manager和letencrypt对我的所有应用程序使用一个通配SSL证书,现在的问题是我无法配置子域重定向,原因是Ingress有点“僵硬”。这是我要达到的目的:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: my-wildcard-ingress
namespace: mynamespace
annotations:
kubernetes.io/ingress.class: nginx
certmanager.k8s.io/cluster-issuer: letsencrypt-prod
certmanager.k8s.io/acme-challenge-type: dns01
certmanager.k8s.io/acme-dns01-provider: azuredns
ingress.kubernetes.io/force-ssl-redirect: "true"
ingress.kubernetes.io/ssl-redirect: "true"
spec:
rules:
- host: "domain.com"
http:
paths:
- path: /
backend:
serviceName: some-service
servicePort: 3000
- host: somesub.domain.com
http:
paths:
- path: /
backend:
serviceName: some-other-service
servicePort: 80
- host: othersub.domain.com
http:
paths:
- path: /
backend:
serviceName: one-more-service
servicePort: 8080
- host: "*.domain.com"
http:
paths:
- path: /
backend:
serviceName: default-service-to-all-other-non-mapped-subdomains
servicePort: 8000
tls:
- secretName: domain-com-tls
hosts:
- "*.domain.com.br"
问题在于Ingress忽略声明的子域重定向,只是因为它们未在“ tls:hosts”部分中列出。如果我确实将它们放在此处,它会尝试在同一证书中使用通配符和其他子域来发行SSL证书,这将导致发行者拒绝该命令,并说:“ subdomain.domain.com和* .domain.com是多余的”
还有其他方法可以声明这些重定向并强制其使用我的SSL通配符证书吗?
答案 0 :(得分:3)
好吧,对于任何遇到这种麻烦的人,我都设法解决了它(不是最好的解决方案,但这只是一个开始)。为此,我将使用cert-manager和letencrypt。
首先,我创建了一个ClusterIssuer来使用letencrypt为我的证书颁发证书:
apiVersion: certmanager.k8s.io/v1alpha1
kind: ClusterIssuer
metadata:
name: letsencrypt-prod-dns
spec:
acme:
dns01:
providers:
- azuredns:
clientID: MY_AZURE_CLIENT_ID
clientSecretSecretRef:
key: client-secret
name: azure-secret
hostedZoneName: mydomain.com
resourceGroupName: MY_AZURE_RESOURCE_GROUP_NAME
subscriptionID: MY_AZURE_SUBSCRIPTION_ID
tenantID: MY_AZURE_TENANT_ID
name: azuredns
email: somemail@mydomain.com
privateKeySecretRef:
key: ""
name: letsencrypt-prod-dns
server: https://acme-v02.api.letsencrypt.org/directory
然后,我为所有子域创建了一个备用入口(该域将是证书生成器):
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
annotations:
certmanager.k8s.io/acme-challenge-type: dns01
certmanager.k8s.io/acme-dns01-provider: azuredns
certmanager.k8s.io/cluster-issuer: letsencrypt-prod-dns
ingress.kubernetes.io/force-ssl-redirect: "true"
ingress.kubernetes.io/ssl-redirect: "true"
kubernetes.io/ingress.class: nginx
name: wildcard-ingress
namespace: some-namespace
spec:
rules:
- host: '*.mydomain.com'
http:
paths:
- backend:
serviceName: some-default-service
servicePort: 80
path: /
tls:
- hosts:
- '*.mydomain.com'
- mydomain.com
secretName: wildcard-mydomain-com-tls
请注意,我已经在TLS部分声明了通配符和绝对路径,因此该证书对于不带子域的URL也将有效。
这时,对您域的任何请求都将使用SSL重定向到“某些默认服务”(创建后备入口后,证书管理器将立即为新证书颁发证书。这可能需要一段时间一旦cert-manager dns01发行者还不成熟),太好了!!!
但是,如果您需要将某些特定子域重定向到另一服务怎么办?没问题(因为它们在相同的名称空间上运行),您要做的就是为子域创建一个新的入口,将其指向您现有的wildcard-mydomain-com-tls证书密钥:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
annotations:
ingress.kubernetes.io/force-ssl-redirect: "false"
ingress.kubernetes.io/ssl-redirect: "true"
kubernetes.io/ingress.class: nginx
name: somesubdomain-ingress
namespace: some-namespace
spec:
rules:
- host: somesubdomain.mydomain.com
http:
paths:
- backend:
serviceName: some-other-service
servicePort: 8080
path: /
tls:
- hosts:
- somesubdomain.mydomain.com
secretName: wildcard-mydomain-com-tls
轻松榨柠檬!!!现在,您的somesubdomain.mydomain.com会覆盖您的后备规则,并将用户发送到另一个应用程序。您在这里唯一需要注意的是,该密码仅对“ some-namespace”命名空间有效,如果您需要在另一个命名空间中使用此证书,则可以:
我想就是这样。希望那里的人可以从此信息中受益。
欢呼
答案 1 :(得分:0)
因此,此处最好的操作方法可能是仅不使用ingress-shim来管理您的证书资源。
相反,您可以手动创建证书资源,然后引用它在所有入口中产生的秘密。
我们目前正在研究解决入口中此限制的方法,但是到目前为止还没有任何进展!