有时候我们需要在 Kubernetes 集群中实现 HTTPS 服务。而且在现代浏览器中,它已成为了安全连接的标准。在本文中,我将会向你介绍如何使用 Ingress 和 Cert-Manager 实现 HTTPS 服务。
什么是 Ingress?
在 Kubernetes 中,Ingress 是一种对外暴露服务的方式。它允许我们在集群中定义 HTTP 或 HTTPS 路由规则。简单来说,它将负载平衡器配置与 URL 域名进行了解耦。也就是说,它可以通过规则将外部 URL 映射到内部服务地址。
Ingress 不是 Kubernetes 的核心组件,需要使用插件或者控制器来实现。比如 Nginx、Traefik 等。本文中,我们使用 Nginx 作为 Ingress 控制器。
什么是 Cert-Manager?
Cert-Manager 是由 Jetstack 公司推出的一个开源工具,用于自动化证书的申请、颁发、续期和升级。它可以与 Kubernetes 集成,从 Ingress 路由规则中检测需要申请证书的域名并自动化证书的申请过程。
实现过程
接下来,我们将详细讲述如何使用 Ingress 和 Cert-Manager 实现我们的 HTTPS 服务。
安装 Nginx Ingress 控制器
我们使用 Helm 来安装 Nginx Ingress 控制器。Helm 是 Kubernetes 的包管理工具。在安装 Helm 之前,你需要确保你的 Kubernetes 集群已经可用,然后执行以下操作:
# 安装 Helm brew install helm # 添加 Nginx Ingress Chart helm repo add ingress-nginx https://kubernetes.github.io/ingress-nginx # 安装 Nginx Ingress 控制器 helm install nginx-ingress ingress-nginx/ingress-nginx
安装 Cert-Manager
Cert-Manager 的安装过程需要分为三步:添加 Jetstack Helm 仓库、安装 Cert-Manager CRDs 和安装 Cert-Manager 控制器。执行以下操作:
-- -------------------- ---- ------- - -- -------- ---- -- ---- ---- --- -------- -------------------------- - -- ---- ---- ---- ---- ------ - -- ------------ ---- ------- ----- -- ---------------------------------------------------------------------------------------- - -- ------------ ---- ------- ------ --------- ------------ - -- ------------ --- ---- ------- ------------ --------------------- ----------- ------------ --------- ------ ----- ----------------
配置 DNS
在使用 Cert-Manager 申请证书之前,我们需要先准备好域名并配置好 DNS 解析服务。这里我们使用 example.com 作为演示域名,并配置 A 记录指向 Kubernetes 集群中的负载均衡器 IP 地址。如下图所示:
创建证书
我们需要创建一个 Issuer 资源和一个证书资源。先来创建 Issuer 资源,它定义了 Cert-Manager 向 ACME 协议服务器申请证书的方法和细节。我们使用 Let's Encrypt 作为 ACME 协议服务器。执行以下命令:
-- -------------------- ---- -------
- ---- ----------------------------
----------- ------------------
----- -------------
---------
----- ----------------
-----
-----
- -- ----- ------- ---- -----
------- ----------------------------------------------
- --- ---- -------- -----
------ ----------------
--------------------
- ------- ------ --
----- ----------------------------
- -------
--------- -----
- ---- --- --- -------------------------
--------
- -----------执行以下命令创建 Issuer 资源:
kubectl apply -f cert-issuer-letsencrypt.yaml
现在我们已经设置了一个 Issuer。现在,我们来创建证书资源。执行以下命令:
-- -------------------- ---- -------
- ---- ------------------
----------- ------------------
----- -----------
---------
----- ---------------------
-----
- ---------
---------
- -----------
- -- ------ ----
----------
----- ----------------
- ----------------- ------ ---
----------- ---------------执行以下命令创建证书资源:
kubectl apply -f cert-instance.yaml
到目前为止,我们已经完成了 Kubernetes 和 Cert-Manager 的设置。现在我们来到 Ingress 配置的部分。
创建 Ingress 资源
为了在 Kubernetes 集群中实现 HTTPS 服务,我们需要创建 Ingress 资源。执行以下命令:
-- -------------------- ---- -------
- ---- ------------
----------- --------------------
----- -------
---------
----- -------------------
------------
- -- ----- ------- ---
---------------------------- -----
- ------------------ ------ --
------------------------------- ----------------
-----
----
- --- ----------------------
- ------
- -----------
----------- ---------------
------
- --- ---- -------
- ----- -----------
-----
------
- ----- -----
--------- ------
--------
--------
----- ------------
-----
----- ----这里的 Ingress 配置中,我们指定了 example.com 的 TLS 配置,它只有一个路径链接到了 Kubernetes 内部的 test-service 服务。Ingress 路由的规则配置较为灵活,可自行根据需求修改。
现在我们已经将 K8s、Cert-Manager、Nginx-Ingress 和 Ingress 资源全部配置完成。接下来,我们访问 https://example.com 就可以看到我们以自动化方式申请到的证书生效了。
总结
在这篇文章中,我们介绍了如何使用 Kubernetes 中的 Ingress 控制器和 Cert-Manager 工具,自动化申请并颁发 HTTPS 证书。这在现代 Web 开发中几乎是必备的一部分。我希望这篇文章可以在使用 Ingress 和 Cert-Manager 时,为大家提供一些参考意见。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/64fd977795b1f8cacdce7540