2. 程式人生 > >kubernetes使用traefik的https方式訪問web應用

kubernetes使用traefik的https方式訪問web應用

阿新 發佈:2018-06-05
traefik https k8s

背景
之前的文章中,我已經利用kubernetes的traefik服務作為入口,訪問了tomcat的相關服務,但之前的文章是通過http的方式來訪問的。在現實應用中,為了安全考慮,肯定有https訪問的需求,這裏我們就通過traefik來實現https的訪問。
之前的文章鏈接:http://blog.51cto.com/icenycmh/2124502

實驗操作
一:想開啟https,證書是少不了的。可以自己手動建一個證書,或者利用已經有的證書。這裏我用已經申請的一個ssl證書,對應的域名為*.gzshapp.com。

二:創建一個secret,保存https證書。

# ll
total 12
-rw-r--r-- 1 root root 5477 Mar 30 16:32 _.gzshapp.com_bundle.crt
-rw-r--r-- 1 root root 1708 Mar 28 14:01 _.gzshapp.com.key

# kubectl create secret generic traefik-cert --from-file=_.gzshapp.com_bundle.crt --from-file=_.gzshapp.com.key -n kube-system

把證書拷貝到k8s node節點,本例中,存放證書的目錄為:/opt/conf/k8s/ssl/。

三:創建一個configmap,保存traefix的配置。
這裏的traefix中配置了把所有http請求全部rewrite為https的規則,並配置相應的證書位置:

# vi traefik.toml
defaultEntryPoints = ["http","https"]
[entryPoints]
  [entryPoints.http]
  address = ":80"
    [entryPoints.http.redirect]
    entryPoint = "https"
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
      [[entryPoints.https.tls.certificates]]
      certFile = "/opt/conf/k8s/ssl/_.gzshapp.com_bundle.crt"
      keyFile = "/opt/conf/k8s/ssl/_.gzshapp.com.key"

# kubectl create configmap traefik-conf --from-file=traefik.toml -n kube-system

把traefik.toml文件拷貝到k8s node節點,本例中,traefik的存放目錄為:/opt/conf/k8s/conf/。

四:重新部署Traefix,這裏主要是要關聯創建的secret和configMap,並掛載相對應的主機目錄。

# more traefik-deployment.yaml 
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: traefik-ingress-lb
  namespace: kube-system
  labels:
    k8s-app: traefik-ingress-lb
spec:
  replicas: 2
  template:
    metadata:
      labels:
        k8s-app: traefik-ingress-lb
        name: traefik-ingress-lb
    spec:
      terminationGracePeriodSeconds: 60
      volumes:
      - name: ssl
        secret:
          secretName: traefik-cert
      - name: config
        configMap:
          name: traefik-conf
      hostNetwork: true
      restartPolicy: Always
      serviceAccountName: ingress
      containers:
      - image: traefik
        name: traefik-ingress-lb
        volumeMounts:
        - mountPath: "/opt/conf/k8s/ssl"
          name: "ssl"
        - mountPath: "/opt/conf/k8s/conf"
          name: "config"
        ports:
        - name: http
          containerPort: 80
          hostPort: 80
        - name: admin
          containerPort: 8580
          hostPort: 8580
        args:
        - --configFile=/opt/conf/k8s/conf/traefik.toml
        - --web
        - --web.address=:8580
        - --kubernetes

# kubectl apply -f traefik-deployment.yaml

五:測試效果。
這裏我們可以登陸traefik-ui界面,可以看到原本http的訪問,traefik會直接給我們重定向至https。
技術分享圖片
由於traefik-ui使用的域名不是我們證書所支持的域名,故這裏顯示了不安全的提示。這裏我修改了之前文章中創建的tomcat-test的ingress,修改其中的域名為證書所支持的域名,再進行一次測試:

# vi ingress-tomcat.yaml 
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: tomcat-test-web
  namespace: default
  annotations:
    kubernetes.io/ingress.class: traefik
    traefik.frontend.rule.type: PathPrefixStrip
spec:
  rules:
  - host: test.gzshapp.com
    http:
      paths:
      - path: /test1/
        backend:
          serviceName: tomcat-test1
          servicePort: 8080
      - path: /test2/
        backend:
          serviceName: tomcat-test2
          servicePort: 8080

# kubectl apply -f ingress-tomcat.yaml

這裏我們修改ingress的域名為test.gzshapp.com,修改一下host,再訪問測試一下:

192.168.232.129 test.gzshapp.com
192.168.232.131 test.gzshapp.com

技術分享圖片
技術分享圖片
可以看到我們的配置已經生效了。

其他需求
當然,現實環境中肯定針對不同情況,有很多的不同需求。比如,訪問需同時支持http和https、只有部分域名需要https強制跳轉,後端代理https的應用等。這裏我們可以一個個來根據需求配置traefik。
1:同時支持http和https:(把http中的rewrite代碼改掉)

defaultEntryPoints = ["http","https"]
[entryPoints]
  [entryPoints.http]
  address = ":80"
    entryPoint = "https"
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
      [[entryPoints.https.tls.certificates]]
      certFile = "/opt/scripts/traefik/https/_.gzshapp.com_bundle.crt"
      keyFile = "/opt/scripts/traefik/https/_.gzshapp.com.key"

2:僅配置部分域名強制跳轉https:(在http.redirect中編寫對應域名的正則)

defaultEntryPoints = ["http","https"]
[entryPoints]
  [entryPoints.http]
  address = ":80"
    [entryPoints.http.redirect]
    regex = "^http://test.gzshapp.com/(.*)"
    replacement = "https://test.gzshapp.com/$1"
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
      [[entryPoints.https.tls.certificates]]
      certFile = "/opt/conf/k8s/ssl/_.gzshapp.com_bundle.crt"
      keyFile = "/opt/conf/k8s/ssl/_.gzshapp.com.key"

3:traefik代理後端https請求:
這裏我修改了一下我的tomcat服務,開放了8443的https端口,並修改了一下ingress的配置,如下:
技術分享圖片
可以看到我新建了一個ingress,域名為test-ssl.gzshapp.com,其中/test1/後端為8443的https服務,/test2為8080的http服務。修改host,用https協議分別訪問,結果如下:
技術分享圖片
技術分享圖片
可以看到,訪問test1的時候,反回了“Bad Gateway”錯誤。訪問test2,則正常。這可能是因為後端的tomcat服務的使用了自簽證書的原因,導致了訪問失敗,也可能是traefik自身的原因,這裏不去深究。
這裏可以修改traefik的配置,添加insecureSkipVerify = true即可解決這一個問題。這個traefik的配置禁用了對後端的證書檢查。

insecureSkipVerify = true
defaultEntryPoints = ["http","https"]
[entryPoints]
  [entryPoints.http]
  address = ":80"
    entryPoint = "https"
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
      [[entryPoints.https.tls.certificates]]
      certFile = "/opt/conf/k8s/ssl/_.gzshapp.com_bundle.crt"
      keyFile = "/opt/conf/k8s/ssl/_.gzshapp.com.key"

技術分享圖片

kubernetes使用traefik的https方式訪問web應用

相關推薦

kubernetes使用traefik的https方式訪問web應用

traefik https k8s 背景之前的文章中,我已經利用kubernetes的traefik服務作為入口,訪問了tomcat的相關服務,但之前的文章是通過http的方式來訪問的。在現實應用中,為了安全考慮,肯定有https訪問的需求,這裏我們就通過traefik來實現https的訪問。之前

瀏覽器分別在哪些情況下使用get方式和post方式訪問web伺服器

get請求方式: 直接在瀏覽器位址列輸入地址的訪問方式,或提交表單時,該表單對應的form元素沒有設定method方式或者method方式為get時。get方式的請求會將請求引數的名和值轉換為字串,並附加在原url之後,因此可以在位址列看到請求引數名和值。且get請求方式傳

訪問Web應用時出現404錯誤的常見原因

A.被訪問的資源不存在   常見的原因有HTML、JSP、Servlet檔案不存在B.server.xml中<Host>配置錯誤   常見的原因有appBase配置錯誤C.server.xml中<Context>配置錯誤   常見的錯誤有docBase

如何通過HTTPS(SSL加密)方式訪問web service

web service在企業應用中常常被用作不同系統之間的介面方式。但是如果沒有任何安全機制的話,顯然是難以委以重任的。比較直接的web service加密方式就是使用https方式(SSL)方式加密連線,並且只允許持有信任證書的客戶端連線,即SSL雙向認證。這樣就保證了連線

如何通過自定義域名方式訪問本地WEB應用

win 進入 文檔 程序 2.4 註冊 可執行 .exe 公網 自定義域名訪問本地WEB應用 本地安裝了WEB服務端,怎樣通過自定義域名方式實現從公網訪問本地WEB應用? 本文將介紹具體的實現步驟。 1. 準備工作 1.1 安裝並啟動WEB服務端 默認安裝的WEB端口是80

web應用訪問資料庫的方式

web應用訪問資料庫的方式:介紹兩種。一種是通過JDBC連線,一種是通過Mybatis連線。 筆者這裡用tomcat6.0作為伺服器 一、通過JDBC的方式與servlet連線: 1.配置tomcat的檔案,首先開啟tomcat檔案中conf目錄下的context.xml檔案(用記事本

WAF——針對Web應用發起的攻擊,包括但不限於以下攻擊類型:SQL註入、XSS跨站、Webshell上傳、命令註入、非法HTTP協議請求、非授權文件訪問

授權 文件訪問 http協議 火墻 針對 str sql 包括 fire 核心概念 WAF Web應用防火墻(Web Application Firewall),簡稱WAF。 Web攻擊 針對Web應用發起的攻擊,包括但不限於以下攻擊類型:SQL註入、XSS跨站、Websh

Web 應用程序項目 Himall.Web 已配置為使用 IIS。 無法訪問 IIS 元數據庫

權限 解決方法 使用 all 出現問題 無法 程序 bsp 點擊 Web應用程序項目XXXX已配置為使用IIS。無法訪問IIS元數據庫。您沒有足夠的特權訪問計算機上的IIS網站,xxxxiis 問題:Windows8下直接使用VS打開項目,出現問題:XXXX已配置為使用

愛創課堂每日一題第五十五天- WEB應用從服務器主動推送Data到客戶端有那些方式

前端 前端學習 前端入門Javascript數據推送Commet:基於HTTP長連接的服務器推送技術基於WebSocket的推送方案SSE(Server-Send Event):服務器推送數據新方式愛創課堂每日一題第五十五天- WEB應用從服務器主動推送Data到客戶端有那些方式?

Web應用三種部署方式的優缺點

網站 span text pat docbase 自動部署 後臺 文件的 人性化 方式一:修改server.xml文件 優點: 配置速度快,只需要在server.xml文件中添加<Context>標簽,在其中分別配置path虛擬路徑和docBase真實路徑然

springboot 建立web應用 編寫helloworld訪問404

@SpringBootApplication public class SpringbootApplication { public static void main(String[] args) { SpringApplication.run(SpringbootApplica

手機APP應用外網訪問本地WEB應用

.exe ole dom 程序 工作 pro 通過 tps intern 手機APP應用外網訪問本地WEB應用 本地安裝了WEB服務端,手機APP應用只能在局域網內訪問本地WEB,怎樣使手機APP應用從公網也能訪問本地WEB? 本文將介紹具體的實現步驟。 1. 準備工作 1

手機APP應用公網訪問區域網WEB應用

手機APP應用公網訪問區域網WEB應用 本地安裝了WEB服務端,手機APP應用只能在區域網內訪問本地WEB,怎樣使手機APP應用從公網也能訪問本地WEB? 本文將介紹具體的實現步驟。 1. 準備工作 1.1 安裝並啟動WEB服務端程式 預設安裝的WEB服務端的埠是80。

手機APP應用公網訪問內網WEB應用

手機APP應用公網訪問本地WEB應用 本地安裝了WEB服務端,手機APP應用只能在區域網內訪問本地WEB,怎樣使手機APP應用從公網也能訪問本地WEB? 本文將介紹具體的實現步驟。 1. 準備工作 1.1 安裝並啟動WEB服務端程式 預設安裝的WEB服務端的埠是80。

使用自己的域名訪問本地WEB應用

自定義域名訪問本地WEB應用 本地安裝了WEB服務端,怎樣通過自定義域名方式實現從公網訪問本地WEB應用? 本文將介紹具體的實現步驟。 1. 準備工作 1.1 安裝並啟動WEB服務端 預設安裝的WEB埠是80。 1.2 申請域名並完成域名備案 可以在萬網、百度雲、

Nginx: 只用一個埠以二級域名方式訪問多個應用

docker nginx: docker run -d \ --hostname nginx \ --name nginx \ -p 80:80 -p 443:443 \ --restart always \ --

訪問 WEB-INF 資源幾種方式

一、方法1 本來WEB-INF中的 JSP 就是無法通過位址列訪問的,所以安全。如果說你要訪問這個資料夾中的 JSP 檔案需要在專案的web.xml檔案中去配置servlet配置就OK了。 <servlet> <servlet-name>run

jar包方式執行web專案檔案上傳和訪問

spingBoot2.x使用 java -jar執行方式的圖片上傳和訪問處理 1.打包成jar包,需要增加maven依賴         <build>        &nb

tomcat部署web應用的三種方式

1、直接放到Webapps目錄下    Tomcat的Webapps目錄是Tomcat預設的應用目錄,當伺服器啟動時,會載入所有這個目錄下的應用。也可以將JSP程式打包成一個war包放在目錄下,伺服器會自動解開這個war包,並在這個目錄下生成一個同名的資料夾。一個war包就是

瀏覽器載入Angular Web應用方式

瀏覽器載入Angular Web應用的方式: 1、瀏覽器獲取Html程式碼並開始構建Dom樹。 2、瀏覽器在構建Dom樹的過程中遇到了angular.js,這時就會提取指令碼(angular.js檔案),暫停Dom樹的構建直至js檔案提取完成。 3、angular.js檔案提取完成後會設