k3s+traefik+cert-manager+letsencrypt实现web服务全https
1. 简介
随着 HTTPS 不断普及,越来越多的网站都在从 HTTP 升级到 HTTPS,使用 HTTPS 就需要向权威机构申请证书,需要付出一定的成本,如果需求数量多,也是一笔不小的开支。cert-manager 是 Kubernetes 上的全能证书管理工具,如果对安全级别和证书功能要求不高,可以利用 cert-manager 基于 ACME 协议与 Let’s Encrypt 来签发免费证书并自动续期,实现永久免费使用证书。
Cert-Manager 是一个云原生证书管理开源项目,用于在 Kubernetes 集群中提供 HTTPS 证书并自动续期,支持 Let’s Encrypt / HashiCorp / Vault 这些免费证书的签发。在 Kubernetes 中,可以通过 Kubernetes Ingress 和 Let’s Encrypt 实现外部服务的自动化 HTTPS。
架构原理图
解释下几个关键的资源:
Issuer/ClusterIssuer: 用于指示 cert-manager 用什么方式签发证书,本文主要讲解签发免费证书的 ACME 方式。ClusterIssuer 与 Issuer 的唯一区别就是 Issuer 只能用来签发自己所在 namespace 下的证书,ClusterIssuer 可以签发任意 namespace 下的证书。
Certificate: 用于告诉 cert-manager 我们想要什么域名的证书以及签发证书所需要的一些配置,包括对 Issuer/ClusterIssuer 的引用。
2.准备
k3s集群环境
有效的域名(如果是国内云服务器还需要备案)
一个可登录的邮箱
3.开始部署
3.1部署cert-manager
本文直接使用kubectl安装,未使用Helm.
kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.7.1/cert-manager.yaml
运行如下命令可看到创建了3个pod,并STATUS为:Running
kubectl get pods --namespace cert-manager
3.2 配置ClusterIssuer
创建clusterIssuer.yml,内容如下
apiVersion: cert-manager.io/v1 kind: ClusterIssuer metadata: name: letsencrypt-prod spec: acme: email: 【此处修改为你的邮箱】 privateKeySecretRef: name: letsencrypt-prod server: https://acme-v02.api.letsencrypt.org/directory solvers: - http01: ingress: class: traefik
应用该配置
kubectl apply -f clusterIssuer.yml
至此,基本配置已完成,接下来我们建立一个deployment,service,traefik进行测试
4.测试
4.1创建nginx Deployment
创建一个Deployment资源,nginx.yml
apiVersion: apps/v1 kind: Deployment metadata: name: nginx-deployment spec: selector: matchLabels: app: nginx replicas: 2 # tells deployment to run 2 pods matching the template template: metadata: labels: app: nginx spec: containers: - name: nginx image: nginx:1.14.2 ports: - containerPort: 80
4.2创建Nginx Service
nginxservice.yml
apiVersion: v1 kind: Service metadata: labels: app: video-nginx name: video-nginx namespace: default spec: ports: - port: 8888 protocol: TCP name: nginx targetPort: 80 type: ClusterIP selector: app: nginx
5.创建Ingress (重点)
workingress.yml
apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: work-ingress namespace: default annotations: kubernetes.io/ingress.class: traefik cert-manager.io/cluster-issuer: letsencrypt-prod # letsencrypt-prod为ClusterIssuer名称 spec: tls: - secretName: test-tls # 证书名 hosts: - your domain # 域名 rules: - host: your domain # 域名 http: paths: - path: / pathType: ImplementationSpecific backend: service: name: video-nginx # 服务名 port: number: 80 # 服务的端口号 service port,非pod port
至此,测试程序已经部署完成,接下来,在浏览器输入https://你的域名,即可看到你的网站已经使用HTTPS协议了。
6.Http自动重定向到Https
6.1创建一个Middleware
apiVersion: traefik.containo.us/v1alpha1 kind: Middleware metadata: name: redirect-https spec: redirectScheme: scheme: https permanent: true
6.2在Ingress中添加注解traefik.ingress.kubernetes.io/router.middlewares: default-redirect-https@kubernetescrd注意default是命名空间,redirect-https为Middleware的name