GKE,NGINX入口,HTTPS和证书

时间:2019-10-31 00:11:42

标签: ssl nginx google-kubernetes-engine

我已经在GCP / GKE上建立了一个Kubernetes集群,除了一件事之外,它都运行良好。当我访问该服务的外部IP时,将(默认吗?)“ Kubernetes入口控制器伪证书”得到服务。

我正在尝试使用NGINX入口(https://kubernetes.github.io/ingress-nginx/),并遵循了我认为将TLS秘密与入口相关联的正确说明。例如:

  

https://estl.tech/configuring-https-to-a-web-service-on-google-kubernetes-engine-2d71849520d

     

https://kubernetes.github.io/ingress-nginx/user-guide/tls/

我创建了这样一个秘密:

apiVersion: v1
kind: Secret
metadata:
  name: example-tls
  namespace: default
data:
  tls.crt: [removed]
  tls.key: [removed]
type: kubernetes.io/tls

并将该秘密(我可以确认的秘密已正确应用,并且可以在集群配置中看到)与Ingress关联,如下所示:

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: example-ingress
  namespace: default
  annotations:
    kubernetes.io/ingress.class: "nginx"
    kubernetes.io/ingress.allow-http: "false"
    nginx.ingress.kubernetes.io/ssl-redirect: "true"
    nginx.ingress.kubernetes.io/force-ssl-redirect: "true"
    nginx.ingress.kubernetes.io/affinity: "cookie"
spec:
  backend:
    serviceName: example-service
    servicePort: 80
  tls:
  - secretName: example-tls

从文档中,我认为这应该可行(但是,除非存在错误,否则我显然错了!)。

我还看到了一些文档,这些文档要求HTTPS需要目标代理。也许那就是我应该这样做的方式?

非常感谢您的提前帮助。

干杯, 本

PS:这是我的负载均衡器配置:

kind: Service
apiVersion: v1
metadata:
  name: ingress-nginx
  namespace: ingress-nginx
  labels:
    app.kubernetes.io/name: ingress-nginx
    app.kubernetes.io/part-of: ingress-nginx
spec:
  externalTrafficPolicy: Cluster
  loadBalancerIP: [removed]
  sessionAffinity: ClientIP
  type: LoadBalancer
  selector:
    app.kubernetes.io/name: ingress-nginx
    app.kubernetes.io/part-of: ingress-nginx
  ports:
    - name: http
      port: 80
      targetPort: http
    - name: https
      port: 443
      targetPort: https

编辑1: 看着我的入口,我可以看到:

➜  gke git:(develop) ✗ kubectl describe ing example-tls-ingress
Name:             example-tls-ingress
Namespace:        default
Address:          [removed]
Default backend:  example-webapp-service:80 ([removed])
TLS:
  example-tls terminates 
Rules:
  Host  Path  Backends
  ----  ----  --------
  *     *     example-webapp-service:80 ([removed])

所以看起来秘密就被窃取了。

这使我认为Ingress终止的TLS和Load Balancer终止的TLS有区别吗?

1 个答案:

答案 0 :(得分:1)

您只能参考this stackoverflow帖子。

您需要安装jetstack cert-Manager,创建clusterissuer / issuer,以及必须通过域名/主机名传递的证书,然后jetstack会自动按照您在“证书”中提到的名称为您创建秘密。 '。

该秘密必须在入口规则中修补到TLS。