這篇文章主要講解了“K8S中怎么為Ingress以及后端Nginx增加證書”，文中的講解內(nèi)容簡單清晰，易于學(xué)習(xí)與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學(xué)習(xí)“K8S中怎么為Ingress以及后端Nginx增加證書”吧！

創(chuàng)新互聯(lián)專注于天等網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供天等營銷型網(wǎng)站建設(shè)，天等網(wǎng)站制作、天等網(wǎng)頁設(shè)計、天等網(wǎng)站官網(wǎng)定制、小程序設(shè)計服務(wù)，打造天等網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供天等網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

前言

前面 nginx 都是 http 協(xié)議在工作，那么加證書應(yīng)該如何操作。

創(chuàng)建證書

可以網(wǎng)上申請一年免費證書，也可以自建證書。下面自建證書。

下載自建證書腳本

wget -O Makefile https://raw.githubusercontent.com/kubernetes/examples/master/staging/https-nginx/Makefile

創(chuàng)建證書文件

make keys KEY=/tmp/nginx.key CERT=/tmp/nginx.crt

將證書寫入到 K8S 的 secret 中

# kubectl create secret tls nginxsecret --key /tmp/nginx.key --cert /tmp/nginx.crt
secret/nginxsecret created

將 nginx 配置寫入到 K8S 的 configmap 中

# cat default.conf

server {
        listen 80 default_server;
        listen [::]:80 default_server ipv6only=on;

        listen 443 ssl;

        root /usr/share/nginx/html;
        index index.html;

        server_name localhost;
        ssl_certificate /etc/nginx/ssl/tls.crt;
        ssl_certificate_key /etc/nginx/ssl/tls.key;

        location / {
                try_files $uri $uri/ =404;
        }
}

# kubectl create configmap nginxconfigmap --from-file=default.conf
configmap/nginxconfigmap created

整合后端 Pod 和證書，使用 Service 發(fā)布

[root@master01 ~]# cat nginx-app.yaml 
apiVersion: v1
kind: Service
metadata:
  name: my-nginx
  labels:
    run: my-nginx
spec:
  type: NodePort
  ports:
  - port: 8080
    targetPort: 80
    protocol: TCP
    name: http
  - port: 443
    protocol: TCP
    name: https
  selector:
    run: my-nginx
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-nginx
spec:
  selector:
    matchLabels:
      run: my-nginx
  replicas: 1
  template:
    metadata:
      labels:
        run: my-nginx
    spec:
      volumes:
      - name: secret-volume
        secret:
          secretName: nginxsecret
      - name: configmap-volume
        configMap:
          name: nginxconfigmap
      containers:
      - name: nginxhttps
        image: bprashanth/nginxhttps:1.0
        ports:
        - containerPort: 443
        - containerPort: 80
        volumeMounts:
        - mountPath: /etc/nginx/ssl
          name: secret-volume
        - mountPath: /etc/nginx/conf.d
          name: configmap-volume

[root@master01 ~]# kubectl apply -f nginx-app.yaml       
service/my-nginx created
deployment.apps/my-nginx created

查看運行情況

[root@master01 ~]# kubectl get service -o wide
NAME         TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)                        AGE     SELECTOR
my-nginx     NodePort    192.20.27.173           8080:32529/TCP,443:32699/TCP   22s     run=my-nginx

[root@master01 ~]# kubectl get pod -o wide       
NAME                          READY   STATUS    RESTARTS   AGE     IP               NODE     NOMINATED NODE   READINESS GATES
my-nginx-85fccfd5dc-2pzvw     1/1     Running   0          64s     192.10.205.224   work01              

嘗試訪問

[root@master01 ~]# curl -k https://192.20.27.173  

Service 使用 NodePort 進(jìn)行了端口暴露，所以可以在瀏覽器中訪問 https://任意節(jié)點IP:32699 ，也可以看到證書已經(jīng)生效。

由于是自建證書，需要手動忽略報錯。

整合 ingress 和證書

# cat ingress.yaml
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: secret-tls-ingress
  annotations:
    ingress.kubernetes.io/ssl-redirect: "False"
spec:
  tls:
  - hosts:
    - test.com
    secretName: nginxsecret
  rules:
  - host: test.com
    http:
      paths:
      - backend:
          serviceName: my-nginx
          servicePort: 80
        path: /

# kubectl apply -f ingress.yaml  
ingress.extensions/secret-tls-ingress created

將 ingress-controller 綁定在了 work01/02 上，所以在集群外綁定 test.com 到 work01 IP 進(jìn)行測試。

# curl -k https://test.com

可以成功訪問。

感謝各位的閱讀，以上就是“K8S中怎么為Ingress以及后端Nginx增加證書”的內(nèi)容了，經(jīng)過本文的學(xué)習(xí)后，相信大家對K8S中怎么為Ingress以及后端Nginx增加證書這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是創(chuàng)新互聯(lián)，小編將為大家推送更多相關(guān)知識點的文章，歡迎關(guān)注！