在 Kubernetes 中实现 HTTPS 服务 —— 详解 Ingress 和 Cert-Manager

有时候我们需要在 Kubernetes 集群中实现 HTTPS 服务。而且在现代浏览器中，它已成为了安全连接的标准。在本文中，我将会向你介绍如何使用 Ingress 和 Cert-Manager 实现 HTTPS 服务。

什么是 Ingress？

在 Kubernetes 中，Ingress 是一种对外暴露服务的方式。它允许我们在集群中定义 HTTP 或 HTTPS 路由规则。简单来说，它将负载平衡器配置与 URL 域名进行了解耦。也就是说，它可以通过规则将外部 URL 映射到内部服务地址。

Ingress 不是 Kubernetes 的核心组件，需要使用插件或者控制器来实现。比如 Nginx、Traefik 等。本文中，我们使用 Nginx 作为 Ingress 控制器。

什么是 Cert-Manager？

Cert-Manager 是由 Jetstack 公司推出的一个开源工具，用于自动化证书的申请、颁发、续期和升级。它可以与 Kubernetes 集成，从 Ingress 路由规则中检测需要申请证书的域名并自动化证书的申请过程。

实现过程

接下来，我们将详细讲述如何使用 Ingress 和 Cert-Manager 实现我们的 HTTPS 服务。

安装 Nginx Ingress 控制器

我们使用 Helm 来安装 Nginx Ingress 控制器。Helm 是 Kubernetes 的包管理工具。在安装 Helm 之前，你需要确保你的 Kubernetes 集群已经可用，然后执行以下操作：

- -- ---- 
---- ------- ----

- -- ----- ------- -----
---- ---- --- ------------- ------------------------------------------

- -- ----- ------- ---
---- ------- ------------- ---------------------------

安装 Cert-Manager

Cert-Manager 的安装过程需要分为三步：添加 Jetstack Helm 仓库、安装 Cert-Manager CRDs 和安装 Cert-Manager 控制器。执行以下操作：

- -- -------- ---- --
---- ---- --- -------- --------------------------

- -- ---- ----
---- ---- ------

- -- ------------ ----
------- ----- -- ----------------------------------------------------------------------------------------

- -- ------------ ----
------- ------ --------- ------------

- -- ------------ ---
---- ------- ------------ --------------------- ----------- ------------ --------- ------ ----- ----------------

配置 DNS

在使用 Cert-Manager 申请证书之前，我们需要先准备好域名并配置好 DNS 解析服务。这里我们使用 example.com 作为演示域名，并配置 A 记录指向 Kubernetes 集群中的负载均衡器 IP 地址。如下图所示：

创建证书

我们需要创建一个 Issuer 资源和一个证书资源。先来创建 Issuer 资源，它定义了 Cert-Manager 向 ACME 协议服务器申请证书的方法和细节。我们使用 Let's Encrypt 作为 ACME 协议服务器。执行以下命令：

- ---- ----------------------------
----------- ------------------
----- -------------
---------
  ----- ----------------
-----
  -----
    - -- ----- ------- ---- -----
    ------- ----------------------------------------------
    - --- ---- -------- -----
    ------ ----------------
    --------------------
      - ------- ------ --
      ----- ----------------------------
    - -------
    --------- -----
    - ---- --- --- -------------------------
    --------
      - -----------

执行以下命令创建 Issuer 资源：

------- ----- -- ----------------------------

现在我们已经设置了一个 Issuer。现在，我们来创建证书资源。执行以下命令：

- ---- ------------------
----------- ------------------
----- -----------
---------
  ----- ---------------------
-----
  - ---------
  ---------
    - -----------
  - -- ------ ----
  ----------
    ----- ----------------
  - ----------------- ------ ---
  ----------- ---------------

执行以下命令创建证书资源：

------- ----- -- ------------------

到目前为止，我们已经完成了 Kubernetes 和 Cert-Manager 的设置。现在我们来到 Ingress 配置的部分。

创建 Ingress 资源

为了在 Kubernetes 集群中实现 HTTPS 服务，我们需要创建 Ingress 资源。执行以下命令：

- ---- ------------
----------- --------------------
----- -------
---------
  ----- -------------------
  ------------
    - -- ----- ------- ---
    ---------------------------- -----
    - ------------------ ------ --
    ------------------------------- ----------------
-----
  ----
    - --- ----------------------
    - ------
        - -----------
      ----------- ---------------
  ------
    - --- ---- -------
    - ----- -----------
      -----
        ------
          - ----- -----
            --------- ------
            --------
              --------
                ----- ------------
                -----
                  ----- ----

这里的 Ingress 配置中，我们指定了 example.com 的 TLS 配置，它只有一个路径链接到了 Kubernetes 内部的 test-service 服务。Ingress 路由的规则配置较为灵活，可自行根据需求修改。

现在我们已经将 K8s、Cert-Manager、Nginx-Ingress 和 Ingress 资源全部配置完成。接下来，我们访问 https://example.com 就可以看到我们以自动化方式申请到的证书生效了。

总结

在这篇文章中，我们介绍了如何使用 Kubernetes 中的 Ingress 控制器和 Cert-Manager 工具，自动化申请并颁发 HTTPS 证书。这在现代 Web 开发中几乎是必备的一部分。我希望这篇文章可以在使用 Ingress 和 Cert-Manager 时，为大家提供一些参考意见。

来源：JavaScript中文网 ，转载请联系管理员！ 本文地址：https://www.javascriptcn.com/post/64fd977795b1f8cacdce7540