ingress tls

    在现在大部分场景下面我们都会使用 https 来访问我们的服务,这节课我们将使用一个自签名的证书,当然你有在一些正规机构购买的 CA 证书是最好的,这样任何人访问你的服务的时候都是受浏览器信任的证书。使用下面的 openssl 命令生成 CA 证书:

    现在我们有了证书,我们可以使用 kubectl 创建一个 secret 对象来存储上面的证书:

    前面我们使用的是 Traefik 的默认配置,现在我们来配置 Traefik,让其支持 https:

    1. defaultEntryPoints = ["http", "https"]
    3. [entryPoints]
    4.   [entryPoints.http]
    5.   address = ":80"
    6.     [entryPoints.http.redirect]
    7.       entryPoint = "https
    8.   [entryPoints.https]
    9.   address = ":443"
    10.     [entryPoints.https.tls]
    11.       [[entryPoints.https.tls.certificates]]
    12.       CertFile = "/ssl/tls.crt"
    13.       KeyFile = "/ssl/tls.key"

    上面的配置文件中我们配置了 http 和 https 两个入口,并且配置了将 http 服务强制跳转到 https 服务,这样我们所有通过 traefik 进来的服务都是 https 的,要访问 https 服务,当然就得配置对应的证书了,可以看到我们指定了 CertFile 和 KeyFile 两个文件,由于 traefik pod 中并没有这两个证书,所以我们要想办法将上面生成的证书挂载到 Pod 中去,是不是前面我们讲解过 secret 对象可以通过 volume 形式挂载到 Pod 中?至于上面的 traefik.toml 这个文件我们要怎么让 traefik pod 能够访问到呢?还记得我们前面讲过的 ConfigMap 吗?我们是不是可以将上面的 traefik.toml 配置文件通过一个 ConfigMap 对象挂载到 traefik pod 中去:

    现在就可以更改下上节课的 traefik pod 的 yaml 文件了:

    1. kind: Deployment
    2. apiVersion: extensions/v1beta1
    3. metadata:
    4.   name: traefik-ingress-controller
    5.   namespace: kube-system
    6.   labels:
    7.     k8s-app: traefik-ingress-lb
    8. spec:
    9.   replicas: 1
    10.   selector:
    11.     matchLabels:
    12.       k8s-app: traefik-ingress-lb
    13.   template:
    14.     metadata:
    15.       labels:
    16.         k8s-app: traefik-ingress-lb
    17.         name: traefik-ingress-lb
    18.     spec:
    19.       serviceAccountName: traefik-ingress-controller
    20.       terminationGracePeriodSeconds: 60
    21.       volumes:
    22.         secret:
    23.           secretName: traefik-cert
    24.       - name: config
    26.           name: traefik-conf
    27.       tolerations:
    28.       - operator: "Exists"
    29.       nodeSelector:
    30.         kubernetes.io/hostname: master
    31.       containers:
    32.       - image: traefik
    33.         name: traefik-ingress-lb
    34.         volumeMounts:
    35.         - mountPath: "/ssl"
    36.           name: "ssl"
    37.         - mountPath: "/config"
    38.           name: "config"
    39.         ports:
    40.         - name: http
    41.           containerPort: 80
    42.           hostPort: 80
    43.         - name: https
    44.           containerPort: 443
    45.           hostPort: 443
    46.         - name: admin
    47.           containerPort: 8080
    48.         args:
    49.         - --configfile=/config/traefik.toml
    50.         - --api
    51.         - --kubernetes
    52.         - --logLevel=INFO
    1. $ kubectl apply -f traefik.yaml
    2. $ kubectl logs -f traefik-ingress-controller-7dcfd9c6df-v58k7 -n kube-system
    3. time="2018-08-26T11:26:44Z" level=info msg="Server configuration reloaded on :80"
    4. time="2018-08-26T11:26:44Z" level=info msg="Server configuration reloaded on :443"
    5. time="2018-08-26T11:26:44Z" level=info msg="Server configuration reloaded on :8080"

    更新完成后我们查看 traefik pod 的日志,如果出现类似于上面的一些日志信息,证明更新成功了。现在我们去访问 traefik 的 dashboard 会跳转到 https 的地址,并会提示证书相关的报警信息,这是因为我们的证书是我们自建的,并不受浏览器信任,如果你是正规机构购买的证书并不会出现改报警信息,你应该可以看到我们常见的绿色标志:

    点击下面的高级,我们可以强制让其跳转,这样我们就可以正常访问 traefik 的 dashboard 了。

    配置 ingress

    其实上面的 TLS 认证方式已经成功了,接下来我们通过一个实例来说明下 ingress 中 path 的用法,这里我们部署了3个简单的 web 服务,通过一个环境变量来标识当前运行的是哪个服务:(backend.yaml)

    可以看到上面我们定义了3个 Deployment,分别对应3个 Service:

    1. $ kubectl create -f backend.yaml
    2. deployment.extensions "svc1" created
    3. deployment.extensions "svc3" created
    4. service "svc1" created
    5. service "svc2" created

    然后我们创建一个 ingress 对象来访问上面的3个服务:(example-ingress.yaml)

    1. apiVersion: extensions/v1beta1
    2. kind: Ingress
    3. metadata:
    4.   name: example-web-app
    5.   annotations:
    6.     kubernetes.io/ingress.class: "traefik"
    7. spec:
    8.   rules:
    9.   - host: example.haimaxy.com
    10.     http:
    11.       paths:
    12.       - path: /s1
    13.         backend:
    14.           serviceName: svc1
    15.           servicePort: 8080
    16.       - path: /s2
    17.         backend:
    18.           serviceName: svc2
    19.           servicePort: 8080
    20.       - path: /
    21.         backend:
    22.           serviceName: svc3
    23.           servicePort: 8080

    现在我们可以在本地 hosts 里面给域名 example.haimaxy.com 添加对应的 hosts 解析,然后就可以在浏览器中访问,可以看到默认也会跳转到 https 的页面:
    demo1

    我们可以看到访问上面的域名得到的结果是 svc3 service!这是因为上面在 ingress 中我们为域名的跟路径匹配的是 svc3 这个 service,同样的,我们访问 得到的应该就是 svc1 这个 service 了:

    访问http://example.haimaxy.com/s2 得到的应该就是 svc2 这个 service 了:
    demo3

    有的同学可能有这样的需求,就是不同的 ingress 对象是供不同的域名进行使用的,然后不同的域名的证书还不相同,这样我们想使用上面 traefik 给大家提供的统一的 https 证书就不行了,这个时候我们就可以单独为当前的服务提供单独的证书就可以,同样用证书文件创建一个 secret 对象,然后在 ingress 对象中声明一个 tls 对象即可,比如上面的 example.haimaxy.com 我们可以单独指定一个证书文件:

    1. apiVersion: extensions/v1beta1
    2. kind: Ingress
    3. metadata:
    4.   name: example-web-app
    5.   annotations:
    6.     kubernetes.io/ingress.class: "traefik"
    7. spec:
    8.   tls:
    9.     - secretName: traefik-cert
    10.   rules:
    11.   - host: