Kubernetes EKS 入口和 TLS
Kubernetes EKS Ingress and TLS
我正在尝试为应用程序完成一项非常常见的任务:
分配证书并使用 TLS/HTTPS 保护它。
我花了将近一天的时间浏览文档并尝试了多种不同的策略来使它正常工作,但对我来说没有任何效果。
最初我按照此处的文档使用 Helm 在 EKS 上设置 nginx-ingress:https://github.com/nginxinc/kubernetes-ingress。我尝试使用以下配置让示例应用程序工作(咖啡馆):
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: cafe-ingress
spec:
tls:
- hosts:
- cafe.example.com
secretName: cafe-secret
rules:
- host: cafe.example.com
http:
paths:
- path: /tea
backend:
serviceName: tea-svc
servicePort: 80
- path: /coffee
backend:
serviceName: coffee-svc
servicePort: 80
入口和所有支持的 services/deploys 工作正常,但缺少一件重要的事情:入口没有关联的 address/ELB:
NAME HOSTS ADDRESS PORTS AGE
cafe-ingress cafe.example.com 80, 443 12h
Service LoadBalancer 创建 ELB 资源,即:
testnodeapp LoadBalancer 172.20.4.161 a64b46f3588fe... 80:32107/TCP 13h
但是,Ingress 并未创建地址。如何让 EKS 上外部暴露的 Ingress 控制器来处理 TLS/HTTPS?
进行Ingress resource work, the cluster must have an Ingress controller配置。
这与其他类型的控制器不同,后者通常 运行 作为 kube-controller-manager 二进制文件的一部分,
并且通常作为集群创建的一部分自动启动。
对于 helm 的 EKS,您可以尝试:
helm registry install quay.io/coreos/alb-ingress-controller-helm
接下来,配置 Ingress 资源:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: test-ingress
annotations:
kubernetes.io/ingress.class: nginx
kubernetes.io/tls-acme: 'true'
spec:
rules:
- host: YOUR_DOMAIN
http:
paths:
- path: /
backend:
serviceName: ingress-example-test
servicePort: 80
tls:
- secretName: custom-tls-cert
hosts:
- YOUR_DOMAIN
应用配置:
kubectl create -f ingress.yaml
接下来,使用 TLS 证书创建密钥:
kubectl create secret tls custom-tls-cert --key /path/to/tls.key --cert /path/to/tls.crt
并在 Ingress 定义中引用它们:
tls:
- secretName: custom-tls-cert
hosts:
- YOUR_DOMAIN
以下配置示例展示了如何配置 Ingress 控制器:
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: nginx-ingress-controller
labels:
k8s-app: nginx-ingress-controller
spec:
replicas: 1
selector:
matchLabels:
k8s-app: nginx-ingress-controller
template:
metadata:
labels:
k8s-app: nginx-ingress-controller
spec:
# hostNetwork makes it possible to use ipv6 and to preserve the source IP correctly regardless of docker configuration
# however, it is not a hard dependency of the nginx-ingress-controller itself and it may cause issues if port 10254 already is taken on the host
# that said, since hostPort is broken on CNI (https://github.com/kubernetes/kubernetes/issues/31307) we have to use hostNetwork where CNI is used
# like with kubeadm
# hostNetwork: true
terminationGracePeriodSeconds: 60
containers:
- image: quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.17.1
name: nginx-ingress-controller
readinessProbe:
httpGet:
path: /healthz
port: 10254
scheme: HTTP
livenessProbe:
httpGet:
path: /healthz
port: 10254
scheme: HTTP
initialDelaySeconds: 10
timeoutSeconds: 1
ports:
- containerPort: 80
hostPort: 80
- containerPort: 443
hostPort: 443
env:
- name: POD_NAME
valueFrom:
fieldRef:
fieldPath: metadata.name
- name: POD_NAMESPACE
valueFrom:
fieldRef:
fieldPath: metadata.namespace
args:
- /nginx-ingress-controller
- --default-backend-service=$(POD_NAMESPACE)/default-http-backend
- --publish-service=$(POD_NAMESPACE)/nginx-ingress-lb
接下来,应用上面的配置,然后您可以检查服务是否暴露了外部IP:
kubectl get service nginx-controller -n kube-system
外部 IP 是终止于由外部配置的路由机制配置的 Kubernetes 节点之一的地址。
在服务定义中配置时,一旦请求到达节点,流量就会重定向到服务端点。
Documentation of Kubernetes 提供了更多示例。
我已经复制了在具有安全入口的 EKS 上起床和 运行ning 所需的每个步骤。我希望这可以帮助任何其他想要快速安全地在 EKS 上获取应用程序的人。
起床并运行使用 EKS:
使用 CloudFormation 模板部署 EKS here:请记住,我已使用 CidrIp 限制访问:193.22.12.32/32。更改它以满足您的需要。
安装客户端工具。按照指南 here.
- 配置客户端。按照指南 here.
- 启用工作节点。按照指南 here.
您可以验证集群已启动并且 运行ning 并且您正通过 运行ning:
指向它
kubectl get svc
现在您使用 nginx ingress 启动一个测试应用程序。
注意:一切都放在 ingress-nginx 命名空间下。理想情况下,这将被模板化以在不同的命名空间下构建,但出于本示例的目的,它是有效的。
部署 nginx-ingress:
kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/mandatory.yaml
kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/provider/cloud-generic.yaml
从 here 中获取 rbac.yml。 运行:
kubectl apply -f rbac.yml
准备好证书和密钥以供测试。像这样创建必要的秘密:
kubectl create secret tls cafe-secret --key mycert.key --cert mycert.crt -n ingress-nginx
从 here. Copy coffee-ingress.yml from here 复制 coffee.yml。在 运行 下更新您想要的域。 运行 他们是这样的
kubectl apply -f coffee.yaml
kubectl apply -f coffee-ingress.yaml
更新您域的 CNAME 以指向地址:
kubectl get ing -n ingress-nginx -o wide
刷新 DNS 缓存并测试域。您应该获得一个包含请求统计信息的安全页面。我已经复制了多次,所以如果它对你不起作用,请检查步骤、配置和证书。此外,检查 nginx-ingress-controller* pod 上的日志。
kubectl logs pod/nginx-ingress-controller-*********** -n ingress-nginx
这应该会给您一些错误提示。
我正在尝试为应用程序完成一项非常常见的任务:
分配证书并使用 TLS/HTTPS 保护它。
我花了将近一天的时间浏览文档并尝试了多种不同的策略来使它正常工作,但对我来说没有任何效果。
最初我按照此处的文档使用 Helm 在 EKS 上设置 nginx-ingress:https://github.com/nginxinc/kubernetes-ingress。我尝试使用以下配置让示例应用程序工作(咖啡馆):
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: cafe-ingress
spec:
tls:
- hosts:
- cafe.example.com
secretName: cafe-secret
rules:
- host: cafe.example.com
http:
paths:
- path: /tea
backend:
serviceName: tea-svc
servicePort: 80
- path: /coffee
backend:
serviceName: coffee-svc
servicePort: 80
入口和所有支持的 services/deploys 工作正常,但缺少一件重要的事情:入口没有关联的 address/ELB:
NAME HOSTS ADDRESS PORTS AGE
cafe-ingress cafe.example.com 80, 443 12h
Service LoadBalancer 创建 ELB 资源,即:
testnodeapp LoadBalancer 172.20.4.161 a64b46f3588fe... 80:32107/TCP 13h
但是,Ingress 并未创建地址。如何让 EKS 上外部暴露的 Ingress 控制器来处理 TLS/HTTPS?
进行Ingress resource work, the cluster must have an Ingress controller配置。
这与其他类型的控制器不同,后者通常 运行 作为 kube-controller-manager 二进制文件的一部分, 并且通常作为集群创建的一部分自动启动。
对于 helm 的 EKS,您可以尝试:
helm registry install quay.io/coreos/alb-ingress-controller-helm
接下来,配置 Ingress 资源:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: test-ingress
annotations:
kubernetes.io/ingress.class: nginx
kubernetes.io/tls-acme: 'true'
spec:
rules:
- host: YOUR_DOMAIN
http:
paths:
- path: /
backend:
serviceName: ingress-example-test
servicePort: 80
tls:
- secretName: custom-tls-cert
hosts:
- YOUR_DOMAIN
应用配置:
kubectl create -f ingress.yaml
接下来,使用 TLS 证书创建密钥:
kubectl create secret tls custom-tls-cert --key /path/to/tls.key --cert /path/to/tls.crt
并在 Ingress 定义中引用它们:
tls:
- secretName: custom-tls-cert
hosts:
- YOUR_DOMAIN
以下配置示例展示了如何配置 Ingress 控制器:
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: nginx-ingress-controller
labels:
k8s-app: nginx-ingress-controller
spec:
replicas: 1
selector:
matchLabels:
k8s-app: nginx-ingress-controller
template:
metadata:
labels:
k8s-app: nginx-ingress-controller
spec:
# hostNetwork makes it possible to use ipv6 and to preserve the source IP correctly regardless of docker configuration
# however, it is not a hard dependency of the nginx-ingress-controller itself and it may cause issues if port 10254 already is taken on the host
# that said, since hostPort is broken on CNI (https://github.com/kubernetes/kubernetes/issues/31307) we have to use hostNetwork where CNI is used
# like with kubeadm
# hostNetwork: true
terminationGracePeriodSeconds: 60
containers:
- image: quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.17.1
name: nginx-ingress-controller
readinessProbe:
httpGet:
path: /healthz
port: 10254
scheme: HTTP
livenessProbe:
httpGet:
path: /healthz
port: 10254
scheme: HTTP
initialDelaySeconds: 10
timeoutSeconds: 1
ports:
- containerPort: 80
hostPort: 80
- containerPort: 443
hostPort: 443
env:
- name: POD_NAME
valueFrom:
fieldRef:
fieldPath: metadata.name
- name: POD_NAMESPACE
valueFrom:
fieldRef:
fieldPath: metadata.namespace
args:
- /nginx-ingress-controller
- --default-backend-service=$(POD_NAMESPACE)/default-http-backend
- --publish-service=$(POD_NAMESPACE)/nginx-ingress-lb
接下来,应用上面的配置,然后您可以检查服务是否暴露了外部IP:
kubectl get service nginx-controller -n kube-system
外部 IP 是终止于由外部配置的路由机制配置的 Kubernetes 节点之一的地址。 在服务定义中配置时,一旦请求到达节点,流量就会重定向到服务端点。
Documentation of Kubernetes 提供了更多示例。
我已经复制了在具有安全入口的 EKS 上起床和 运行ning 所需的每个步骤。我希望这可以帮助任何其他想要快速安全地在 EKS 上获取应用程序的人。
起床并运行使用 EKS:
使用 CloudFormation 模板部署 EKS here:请记住,我已使用 CidrIp 限制访问:193.22.12.32/32。更改它以满足您的需要。
安装客户端工具。按照指南 here.
- 配置客户端。按照指南 here.
- 启用工作节点。按照指南 here.
您可以验证集群已启动并且 运行ning 并且您正通过 运行ning:
指向它kubectl get svc
现在您使用 nginx ingress 启动一个测试应用程序。
注意:一切都放在 ingress-nginx 命名空间下。理想情况下,这将被模板化以在不同的命名空间下构建,但出于本示例的目的,它是有效的。
部署 nginx-ingress:
kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/mandatory.yaml
kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/provider/cloud-generic.yaml
从 here 中获取 rbac.yml。 运行:
kubectl apply -f rbac.yml
准备好证书和密钥以供测试。像这样创建必要的秘密:
kubectl create secret tls cafe-secret --key mycert.key --cert mycert.crt -n ingress-nginx
从 here. Copy coffee-ingress.yml from here 复制 coffee.yml。在 运行 下更新您想要的域。 运行 他们是这样的
kubectl apply -f coffee.yaml
kubectl apply -f coffee-ingress.yaml
更新您域的 CNAME 以指向地址:
kubectl get ing -n ingress-nginx -o wide
刷新 DNS 缓存并测试域。您应该获得一个包含请求统计信息的安全页面。我已经复制了多次,所以如果它对你不起作用,请检查步骤、配置和证书。此外,检查 nginx-ingress-controller* pod 上的日志。
kubectl logs pod/nginx-ingress-controller-*********** -n ingress-nginx
这应该会给您一些错误提示。