kubernetes使用traefik的https方式访问web应用

背景
之前的文章中,我已经利用kubernetes的traefik服务作为入口,访问了tomcat的相关服务,但之前的文章是通过http的方式来访问的。在现实应用中,为了安全考虑,肯定有https访问的需求,这里我们就通过traefik来实现https的访问。
之前的文章链接:http://blog.51cto.com/icenycmh/2124502

实验操作
一:想开启https,证书是少不了的。可以自己手动建一个证书,或者利用已经有的证书。这里我用已经申请的一个ssl证书,对应的域名为*.gzshapp.com。

二:创建一个secret,保存https证书。

# ll
total 12
-rw-r--r-- 1 root root 5477 Mar 30 16:32 _.gzshapp.com_bundle.crt
-rw-r--r-- 1 root root 1708 Mar 28 14:01 _.gzshapp.com.key

# kubectl create secret generic traefik-cert --from-file=_.gzshapp.com_bundle.crt --from-file=_.gzshapp.com.key -n kube-system

把证书拷贝到k8s node节点,本例中,存放证书的目录为:/opt/conf/k8s/ssl/。

三:创建一个configmap,保存traefix的配置。
这里的traefix中配置了把所有http请求全部rewrite为https的规则,并配置相应的证书位置:

# vi traefik.toml
defaultEntryPoints = ["http","https"]
[entryPoints]
  [entryPoints.http]
  address = ":80"
    [entryPoints.http.redirect]
    entryPoint = "https"
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
      [[entryPoints.https.tls.certificates]]
      certFile = "/opt/conf/k8s/ssl/_.gzshapp.com_bundle.crt"
      keyFile = "/opt/conf/k8s/ssl/_.gzshapp.com.key"

# kubectl create configmap traefik-conf --from-file=traefik.toml -n kube-system

把traefik.toml文件拷贝到k8s node节点,本例中,traefik的存放目录为:/opt/conf/k8s/conf/。

四:重新部署Traefix,这里主要是要关联创建的secret和configMap,并挂载相对应的主机目录。

# more traefik-deployment.yaml
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: traefik-ingress-lb
  namespace: kube-system
  labels:
    k8s-app: traefik-ingress-lb
spec:
  replicas: 2
  template:
    metadata:
      labels:
        k8s-app: traefik-ingress-lb
        name: traefik-ingress-lb
    spec:
      terminationGracePeriodSeconds: 60
      volumes:
      - name: ssl
        secret:
          secretName: traefik-cert
      - name: config
        configMap:
          name: traefik-conf
      hostNetwork: true
      restartPolicy: Always
      serviceAccountName: ingress
      containers:
      - image: traefik
        name: traefik-ingress-lb
        volumeMounts:
        - mountPath: "/opt/conf/k8s/ssl"
          name: "ssl"
        - mountPath: "/opt/conf/k8s/conf"
          name: "config"
        ports:
        - name: http
          containerPort: 80
          hostPort: 80
        - name: admin
          containerPort: 8580
          hostPort: 8580
        args:
        - --configFile=/opt/conf/k8s/conf/traefik.toml
        - --web
        - --web.address=:8580
        - --kubernetes

# kubectl apply -f traefik-deployment.yaml

五:测试效果。
这里我们可以登陆traefik-ui界面,可以看到原本http的访问,traefik会直接给我们重定向至https。

由于traefik-ui使用的域名不是我们证书所支持的域名,故这里显示了不安全的提示。这里我修改了之前文章中创建的tomcat-test的ingress,修改其中的域名为证书所支持的域名,再进行一次测试:

# vi ingress-tomcat.yaml
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: tomcat-test-web
  namespace: default
  annotations:
    kubernetes.io/ingress.class: traefik
    traefik.frontend.rule.type: PathPrefixStrip
spec:
  rules:
  - host: test.gzshapp.com
    http:
      paths:
      - path: /test1/
        backend:
          serviceName: tomcat-test1
          servicePort: 8080
      - path: /test2/
        backend:
          serviceName: tomcat-test2
          servicePort: 8080

# kubectl apply -f ingress-tomcat.yaml

这里我们修改ingress的域名为test.gzshapp.com,修改一下host,再访问测试一下:

192.168.232.129 test.gzshapp.com
192.168.232.131 test.gzshapp.com



可以看到我们的配置已经生效了。

其他需求
当然,现实环境中肯定针对不同情况,有很多的不同需求。比如,访问需同时支持http和https、只有部分域名需要https强制跳转,后端代理https的应用等。这里我们可以一个个来根据需求配置traefik。
1:同时支持http和https:(把http中的rewrite代码改掉)

defaultEntryPoints = ["http","https"]
[entryPoints]
  [entryPoints.http]
  address = ":80"
    entryPoint = "https"
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
      [[entryPoints.https.tls.certificates]]
      certFile = "/opt/scripts/traefik/https/_.gzshapp.com_bundle.crt"
      keyFile = "/opt/scripts/traefik/https/_.gzshapp.com.key"

2:仅配置部分域名强制跳转https:(在http.redirect中编写对应域名的正则)

defaultEntryPoints = ["http","https"]
[entryPoints]
  [entryPoints.http]
  address = ":80"
    [entryPoints.http.redirect]
    regex = "^http://test.gzshapp.com/(.*)"
    replacement = "https://test.gzshapp.com/$1"
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
      [[entryPoints.https.tls.certificates]]
      certFile = "/opt/conf/k8s/ssl/_.gzshapp.com_bundle.crt"
      keyFile = "/opt/conf/k8s/ssl/_.gzshapp.com.key"

3:traefik代理后端https请求:
这里我修改了一下我的tomcat服务,开放了8443的https端口,并修改了一下ingress的配置,如下:

可以看到我新建了一个ingress,域名为test-ssl.gzshapp.com,其中/test1/后端为8443的https服务,/test2为8080的http服务。修改host,用https协议分别访问,结果如下:


可以看到,访问test1的时候,反回了“Bad Gateway”错误。访问test2,则正常。这可能是因为后端的tomcat服务的使用了自签证书的原因,导致了访问失败,也可能是traefik自身的原因,这里不去深究。
这里可以修改traefik的配置,添加insecureSkipVerify = true即可解决这一个问题。这个traefik的配置禁用了对后端的证书检查。

insecureSkipVerify = true
defaultEntryPoints = ["http","https"]
[entryPoints]
  [entryPoints.http]
  address = ":80"
    entryPoint = "https"
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
      [[entryPoints.https.tls.certificates]]
      certFile = "/opt/conf/k8s/ssl/_.gzshapp.com_bundle.crt"
      keyFile = "/opt/conf/k8s/ssl/_.gzshapp.com.key"

原文地址:http://blog.51cto.com/icenycmh/2125104

时间: 2024-11-07 18:51:45

kubernetes使用traefik的https方式访问web应用的相关文章

cas 用HTTPS方式访问 安全连接失败

在cas server配置以HTTPS方式,客户端同样请求为HTTPS方式,在各个浏览器下出现错误,如下: firefox: chrome: ie: ie上看不到任何反应就不贴图了 导致以上结果的原因就是在客户端指定的server地址有问题,不应该指定server的应用端口 而是应该指定为SSL端口443或8443,如: <filter> <filter-name>CASFilter</filter-name> <filter-class>org.jasig

如何限制用户仅通过HTTPS方式访问OSS?

一.当前存在的问题当前OSS支持用户使用HTTPS/HTTP协议访问Bucket.但由于HTTP存在安全漏洞.大型企业客户都要求使用HTTPS方式访问OSS,并且拒绝HTTP访问请求. 目前OSS可以通过RAM policy方式实现:限制某个用户.角色拒绝通过HTTP协议访问指定的Bucket和对象.但是RAM Policy是一种基于用户的授权方式,无法针对资源进行授权.也就是说无法针对Bucket或者对象级别,拒绝所有用户的HTTP请求.目前我们正在基于Bucket Policy开发该功能,后

Linux实现https方式访问站点

一:SSL会话的简化过程 (1) 客户端发送可供选择的加密方式,并向服务器请求证书: (2) 服务器端发送证书以及选定的加密方式给客户端: (3) 客户端取得证书并进行证书验正: 如果信任给其发证书的CA: (a) 验正证书来源的合法性:用CA的公钥解密证书上数字签名: (b) 验正证书的内容的合法性:完整性验正 (c) 检查证书的有效期限: (d) 检查证书是否被吊销: (e) 证书中拥有者的名字,与访问的目标主机要一致: (4) 客户端生成临时会话密钥(对称密钥),并使用服务器端的公钥加密此

powerdns与nginx结合实现以域名和IP方式访问web服务器80端口时分别跳转到不同页面

1.powerdns设置 2.内部网站介绍 web服务器采用nginx,内网dns采用powerdns. 想实现的功能如下 通过ip访问时跳转到A页面,通过域名访问时,让其跳转到B页面.两种方式的端口均为80. 页面A对应的nginx配置 server {        listen       80;        server_name  localhost; #charset koi8-r;        charset utf-8; access_log  logs/localhost.

tomcat配置https方式访问

1.cmd 命令下,然后在jdk的bin的目录下执行 keytool -genkey -alias tomcat -keyalg RSA -keystore F:\tomcat.keystore -validity 36500 然后会又提示让你填写相关信息,提示的内容如下,填写格式如下: A.输入keystore密码:此处需要输入大于6个字符的字符串 B."您的名字与姓氏是什么?"这是必填项,并且必须是TOMCAT部署主机的域名或者IP[如:gbcom.com 或者 10.1.25.2

Windows Server 2008 R2 下配置证书服务器和HTTPS方式访问网站

文章来源:http://blog.csdn.net/jiftlixu/article/details/11676081 http://www.cnblogs.com/zhongweiv/archive/2013/01/07/https.html 目录 配置环境 了解HTTPS 配置CA证书服务器 新建示例网站并发布在IIS 新建自签名证书并配置HTTPS 故障排除 其它机器无法通过访问 配置环境 Windows版本:Windows Server 2008 R2 Enterprise Servic

IIS7.0 Windows Server 2008 R2 下配置证书服务器和HTTPS方式访问网站

配置环境 Windows版本:Windows Server 2008 R2 Enterprise Service Pack 1 系统类型: 64 位操作系统 了解HTTPS 为什么需要 HTTPS ? 在我们浏览网站时,多数网站的URL都是以HTTP开头,HTTP协议我们比较熟悉,信息通过明文传输; 使用HTTP协议有它的优点,它与服务器间传输数据更快速准确; 但是HTTP明显是不安全的,我们也可以注意到,当我们在使用邮件或者是在线支付时,都是使用HTTPS; HTTPS传输数据需要使用证书并对

在mac Apache配置https方式访问网站

引入httpd-ssl.conf文件 在相应的目录下找到httd-conf文件  一般都是在/etc/apache2/httpd.conf  下 取消掉Include /private/etc/apache2/extra/httpd-ssl.conf 前面的注释符号#  也就是引入httpd-ssl.conf文件 生成KEY和证书. 因为在 /private/etc/apache2/extra/httpd-ssl.conf 已经配置好KEY 和证书的名字所以下面的步骤中请不要修改生成的KEY文件

Struts2学习第三课 访问Web资源

1.什么是WEB资源? HttpServletRequest,HttpSession,ServletContext等原生的Servlet API. 2.为什么访问WEB资源? B/S的应用的Controller中必然需要访问WEB资源,例如,向域对象中读写属性,读写Cookie,获取realPath等等. 3.如何访问? 在Action中,可以通过一下方式访问web的HttpSession,HttpServletRequest,HttpServletResponse等资源 与Servlet AP