什么是https
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。
为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
什么是cert-manager
cert-manager 是一个云原生证书管理开源项目,用于在 Kubernetes 集群中提供 HTTPS 证书并自动续期,支持 Let’s Encrypt, HashiCorp Vault 这些免费证书的签发。在Kubernetes集群中,我们可以通过 Kubernetes Ingress 和 Let’s Encrypt 实现外部服务的自动化 HTTPS。
在Kubernetes集群中使用 HTTPS 协议,需要一个证书管理器、一个证书自动签发服务,主要通过 Ingress 来发布 HTTPS 服务,因此需要Ingress Controller并进行配置,启用 HTTPS 及其路由。
环境依赖
- 本文使用 Helm 安装,所以请确保 Helm 已安装,且版本最好>2.10
- 集群必须已经装有 Ingress Controller
- 外部客户端配置hosts,IP 指向 Ingress Controller 对外暴露的地址(如果IP是公网地址并做了域名解析,则无需配置)
部署cert-manager
使用helm安装cert-manager
安装 CustomResourceDefinition资源
1 |
kubectl apply -f https://raw.githubusercontent.com/jetstack/cert-manager/release-0.7/deploy/manifests/00-crds.yaml |
创建cert-manager namespace
1 |
kubectl create namespace cert-manager |
标记cert-Manager命名空间以禁用资源验证
1 |
kubectl label namespace cert-manager certmanager.k8s.io/disable-validation=true |
添加 Jetstack Helm repository
1 |
helm repo add jetstack https://charts.jetstack.io |
更新本地Helm chart repository
1 |
helm repo update |
使用Helm chart安装cert-manager
1 |
helm install \ |
查看cert-manager部署结果
1 |
# kubectl get pods --namespace cert-manager |
创建ClusterIssuer
我们需要先创建一个签发机构,cert-manager 给我们提供了 Issuer 和 ClusterIssuer 这两种用于创建签发机构的自定义资源对象,Issuer 只能用来签发自己所在 namespace 下的证书,ClusterIssuer 可以签发任意 namespace 下的证书,这里以 ClusterIssuer 为例创建一个签发机构:
1 |
# cat issuer.yaml |
说明:
- metadata.name 是我们创建的签发机构的名称,后面我们创建证书的时候会引用它
- spec.acme.email 是你自己的邮箱,证书快过期的时候会有邮件提醒,不过 cert-manager 会利用 acme 协议自动给我们重新颁发证书来续期
- spec.acme.server 是 acme 协议的服务端,我们这里用 Let’s Encrypt,这个地址就写死成这样就行
- spec.acme.privateKeySecretRef 指示此签发机构的私钥将要存储到哪个 Secret 对象中,名称不重要
- spec.acme.http01 这里指示签发机构使用 HTTP-01 的方式进行 acme 协议 (还可以用 DNS 方式,acme 协议的目的是证明这台机器和域名都是属于你的,然后才准许给你颁发证书)
部署
1 |
# kubectl apply -f issuer.yaml |
查看clusterissuer创建结果
1 |
# kubectl get clusterissuer |
创建Certificate
有了签发机构,接下来我们就可以生成免费证书了,cert-manager 给我们提供了 Certificate 这个用于生成证书的自定义资源对象,它必须局限在某一个 namespace 下,证书最终会在这个 namespace 下以 Secret 的资源对象存储,创建一个 Certificate 对象:
1 |
# cat cert.yaml |
说明:
- spec.secretName 指示证书最终存到哪个 Secret 中
- spec.issuerRef.kind 值为 ClusterIssuer 说明签发机构不在本 namespace 下,而是在全局
- spec.issuerRef.name 我们创建的签发机构的名称 (ClusterIssuer.metadata.name)
- spec.dnsNames 指示该证书的可以用于哪些域名
- spec.acme.config.http01.ingressClass 使用 HTTP-01 方式校验该域名和机器时,cert-manager 会尝试创建Ingress 对象来实现该校验,如果指定该值,会给创建的 Ingress 加上 kubernetes.io/ingress.class 这个 annotation,如果我们的 Ingress Controller 是 traefik Ingress Controller,指定这个字段可以让创建的 Ingress 被 traefik Ingress Controller 处理。
- spec.acme.config.http01.domains 指示该证书的可以用于哪些域名
执行部署命令
1 |
# kubectl apply -f cert.yaml |
查看certificate创建结果
1 |
# kubectl get certificate -n istio-system |
执行上述步骤,如有问题,可使用如下命令排查原因
1 |
# kubectl describe -n istio-system certificate dashboard-imroc-io |
查看生成的secret 结果
1 |
# kubectl get secret -n istio-system | grep dashboard-imroc-io |
测试Ingress使用https
创建一个nginx
1 |
# cat test-nginx.yaml |
需要注意的是上面我们添加的两个annotations非常重要,这个将告诉 Cert Manager 去生成证书,然后由于我们这里要使用 HTTPS,所以我们需要添加一个 tls 证书,而证书就是通过k8sui-tls这个 Secret 对象来提供的,要注意的是这个 Secret 对象并不是我们手动创建的,而是 Cert Manager 自动创建的证书对应的对应。然后直接创建这个资源对象即可:
1 |
# kubectl apply -f test-nginx.yaml |
创建完成后隔一会儿我们可以看到会多出现一个随机名称的 Ingress 对象,这个 Ingress 对象就是用来专门验证证书的:
1 |
# kubectl get ingress -n istio-system |
我们可以通过 Traefik 的 Dashboard 可以观察到这一变化,验证成功后,这个 Ingress 对象也自动删除了:
这个时候我们可以去describe下我们的 Ingress 对象,查看有无报错
1 |
# kubectl describe ingress my-nginx |
同样我们可以去查看 Cert manager 的 Pod 日志信息:
1 |
# kubectl logs -f cert-manager-5658b7db79-824lt --namespace cert-manager |
最后,我们来打开浏览器使用https访问服务
到这里我们就完成了使用Let’s Encrypt实现Kubernetes Ingress自动化 HTTPS。
参考资料
项目地址:https://github.com/jetstack/cert-manager
文档地址:https://cert-manager.readthedocs.io