kubernetes使用traefik的https方式訪問web應用
背景
之前的文章中,我已經利用kubernetes的traefik服務作為入口,訪問了tomcat的相關 服務,但之前的文章是通過http的方式來訪問的。在現實應用中,為了安全考慮,肯定有https訪問的需求,這裡我們就通過traefik來實現https的訪問。
之前的文章連結:http://blog.51cto.com/icenycmh/2124502
實驗操作
一:想開啟https,證書是少不了的。可以自己手動建一個證書,或者利用已經有的證書。這裡我用已經申請的一個ssl證書,對應的域名為*.gzshapp.com。
二:建立一個secret,儲存https證書。
# ll
total 12
-rw-r--r-- 1 root root 5477 Mar 30 16:32 _.gzshapp.com_bundle.crt
-rw-r--r-- 1 root root 1708 Mar 28 14:01 _.gzshapp.com.key
# kubectl create secret generic traefik-cert --from-file=_.gzshapp.com_bundle.crt --from-file=_.gzshapp.com.key -n kube-system
把證書拷貝到k8s node節點,本例中,存放證書的目錄為:/opt/conf/k8s/ssl/。
三:建立一個configmap,儲存traefix的配置。
這裡的traefix中配置了把所有http請求全部rewrite為https的規則,並配置相應的證書位置:
# vi traefik.toml
defaultEntryPoints = ["http","https"]
[entryPoints]
[entryPoints.http]
address = ":80"
[entryPoints.http.redirect]
entryPoint = "https"
[entryPoints.https]
address = ":443"
[entryPoints.https.tls]
[[entryPoints.https.tls.certificates]]
certFile = "/opt/conf/k8s/ssl/_.gzshapp.com_bundle.crt"
keyFile = "/opt/conf/k8s/ssl/_.gzshapp.com.key" # kubectl create configmap traefik-conf --from-file=traefik.toml -n kube-system
把traefik.toml檔案拷貝到k8s node節點,本例中,traefik的存放目錄為:/opt/conf/k8s/conf/。
四:重新部署Traefix,這裡主要是要關聯建立的secret和configMap,並掛載相對應的主機目錄。
# more traefik-deployment.yaml apiVersion: extensions/v1beta1 kind: Deployment metadata:
name: traefik-ingress-lb
namespace: kube-system
labels:
k8s-app: traefik-ingress-lb
spec:
replicas: 2
template:
metadata:
labels:
k8s-app: traefik-ingress-lb
name: traefik-ingress-lb
spec:
terminationGracePeriodSeconds: 60
volumes:
- name: ssl
secret:
secretName: traefik-cert
- name: config
configMap:
name: traefik-conf
hostNetwork: true
restartPolicy: Always
serviceAccountName: ingress
containers:
- image: traefik
name: traefik-ingress-lb
volumeMounts:
- mountPath: "/opt/conf/k8s/ssl"
name: "ssl"
- mountPath: "/opt/conf/k8s/conf"
name: "config"
ports:
- name: http
containerPort: 80
hostPort: 80
- name: admin
containerPort: 8580
hostPort: 8580
args:
- --configFile=/opt/conf/k8s/conf/traefik.toml
- --web
- --web.address=:8580
- --kubernetes
# kubectl apply -f traefik-deployment.yaml
五:測試效果。
這裡我們可以登陸traefik-ui介面,可以看到原本http的訪問,traefik會直接給我們重定向至https。
由於traefik-ui使用的域名不是我們證書所支援的域名,故這裡顯示了不安全的提示。這裡我修改了之前文章中建立的tomcat-test的ingress,修改其中的域名為證書所支援的域名,再進行一次測試:
# vi ingress-tomcat.yaml
---
apiVersion: extensions/v1beta1 kind: Ingress metadata:
name: tomcat-test-web
namespace: default
annotations:
kubernetes.io/ingress.class: traefik
traefik.frontend.rule.type: PathPrefixStrip
spec:
rules:
- host: test.gzshapp.com
http:
paths:
- path: /test1/
backend:
serviceName: tomcat-test1
servicePort: 8080
- path: /test2/
backend:
serviceName: tomcat-test2
servicePort: 8080
# kubectl apply -f ingress-tomcat.yaml
這裡我們修改ingress的域名為test.gzshapp.com,修改一下host,再訪問測試一下:
192.168.232.129 test.gzshapp.com
192.168.232.131 test.gzshapp.com
可以看到我們的配置已經生效了。
其他需求
當然,現實環境中肯定針對不同情況,有很多的不同需求。比如,訪問需同時支援http和https、只有部分域名需要https強制跳轉,後端代理https的應用等。這裡我們可以一個個來根據需求配置traefik。
1:同時支援http和https:(把http中的rewrite程式碼改掉)
defaultEntryPoints = ["http","https"]
[entryPoints]
[entryPoints.http]
address = ":80"
entryPoint = "https"
[entryPoints.https]
address = ":443"
[entryPoints.https.tls]
[[entryPoints.https.tls.certificates]]
certFile = "/opt/scripts/traefik/https/_.gzshapp.com_bundle.crt"
keyFile = "/opt/scripts/traefik/https/_.gzshapp.com.key"
2:僅配置部分域名強制跳轉https:(在http.redirect中編寫對應域名的正則)
defaultEntryPoints = ["http","https"]
[entryPoints]
[entryPoints.http]
address = ":80"
[entryPoints.http.redirect]
regex = "^http://test.gzshapp.com/(.*)"
replacement = "https://test.gzshapp.com/$1"
[entryPoints.https]
address = ":443"
[entryPoints.https.tls]
[[entryPoints.https.tls.certificates]]
certFile = "/opt/conf/k8s/ssl/_.gzshapp.com_bundle.crt"
keyFile = "/opt/conf/k8s/ssl/_.gzshapp.com.key"
3:traefik代理後端https請求:
這裡我修改了一下我的tomcat服務,開放了8443的https埠,並修改了一下ingress的配置,如下:
可以看到我新建了一個ingress,域名為test-ssl.gzshapp.com,其中/test1/後端為8443的https服務,/test2為8080的http服務。修改host,用https協議分別訪問,結果如下:
可以看到,訪問test1的時候,反回了“Bad Gateway”錯誤。訪問test2,則正常。這可能是因為後端的tomcat服務的使用了自簽證書的原因,導致了訪問失敗,也可能是traefik自身的原因,這裡不去深究。
這裡可以修改traefik的配置,新增insecureSkipVerify = true即可解決這一個問題。這個traefik的配置禁用了對後端的證書檢查。
insecureSkipVerify = true
defaultEntryPoints = ["http","https"]
[entryPoints]
[entryPoints.http]
address = ":80"
entryPoint = "https"
[entryPoints.https]
address = ":443"
[entryPoints.https.tls]
[[entryPoints.https.tls.certificates]]
certFile = "/opt/conf/k8s/ssl/_.gzshapp.com_bundle.crt"
keyFile = "/opt/conf/k8s/ssl/_.gzshapp.com.key"
本文轉自開源中國-kubernetes使用traefik的https方式訪問web應用
相關文章
- web方式訪問sshWeb
- Kubernetes中使用Traefik的sticky特性
- WEB應用訪問緩慢的問題定位Web
- 使用 Traefik 提高 WebSocket 應用效能Web
- 如何使用 Rancher Desktop 訪問 Traefik Proxy 儀表板
- Kubernetes叢集中配置Ingress支援HTTPS訪問(一):cfsslHTTP
- 如何從外網訪問本地WEB應用?Web
- web應用私網公網訪問題Web
- kubernetes traefik multiple namespacesnamespace
- 使用 Cert Manager 為 Kubernetes 應用自動簽發 HTTPS 證書HTTP
- Holer實現手機APP應用外網訪問本地WEB應用APPWeb
- Holer實現自定義域名訪問本地WEB應用Web
- 使用CloseableHttpClient 訪問 http 和https 的get請求HTTPclient
- 前端使用Nuxt框架,配置本地https訪問前端UX框架HTTP
- Python使用 Kubernetes API 訪問叢集PythonAPI
- kubernetes使用http rest api訪問叢集之使用postman工具訪問 apiserverHTTPRESTAPIPostmanServer
- EggJS 雲原生應用硬核實戰(Kubernetes+Traefik+Helm+Prometheus+Grafana),提供 DemoJSPrometheusGrafana
- linux tomcat 開通443 (用https安全訪問)LinuxTomcatHTTP
- 如何透過holer從外網訪問本地Web應用Web
- 談談 Kubernetes 的匿名訪問
- Harbor設定https訪問HTTP
- kubernetes之使用http rest api訪問叢集HTTPRESTAPI
- jmeter 使用 ssh 方式訪問資料庫JMeter資料庫
- Node.js 應用訪問 https 伺服器時遇到 unable to get local issuer certificateNode.jsHTTP伺服器
- chorme訪問https的一個報錯ORMHTTP
- ElasticSearch7.10的單機https訪問ElasticsearchHTTP
- 在kubernetes裡使用AppArmor限制容器對資源的訪問APP
- 如何使用自籤CA配置HTTPS加密反向代理訪問?HTTP加密
- WebSphere配置https協議訪問WebHTTP協議
- nginx配置https協議訪問NginxHTTP協議
- nginx 專案配置 https 訪問NginxHTTP
- http 升級為 https 訪問HTTP
- gitlab-ce使用nginx做反向代理的方式啟用httpsGitlabNginxHTTP
- kubernetes實踐之十二:部署Traefik Ingress
- Angular應用解決跨域訪問的問題Angular跨域
- 使用docker搭建最新版本的gitea,並配置HTTPS訪問DockerGitHTTP
- Swift iOS : 訪問 https 伺服器SwiftiOSHTTP伺服器
- Nginx配置VUE專案Https訪問NginxVueHTTP