生产环境的部署大多采用F5+ Traefik这种方式,因为Traefik的SSL方式相对来说比较慢,因此SSL更多的在F5上开放,而F5到Traefik之间以及后端都是http方式。

但客户需要在开发和测试环境直接用SSL,因此需要配置。

遇到一些小坑,记录一下理解

  •  先生成一个secret,记住别搞个一年就过期的啊。
openssl req \

        -newkey rsa: -nodes -keyout tls.key \

        -x509 -days  -out tls.crt
  • 创建secret
kubectl create secret generic traefik-cert \

        --from-file=tls.crt \

        --from-file=tls.key -n kube-system
  • 创建configmap,此处有坑,/ssl/tls.crt等路径不是我们本地的路径,而是在容器内路径,所以不要去修改!
# traefik.toml

defaultEntryPoints = ["http","https"]

[entryPoints]

  [entryPoints.http]

  address = ":80"

    [entryPoints.http.redirect]

      entryPoint = "https"

  [entryPoints.https]

  address = ":443"

    [entryPoints.https.tls]

      [[entryPoints.https.tls.certificates]]

      CertFile = "/ssl/tls.crt"

      KeyFile = "/ssl/tls.key"

如果需要同时打开80和443,需要如下配置文件

# traefik.toml

defaultEntryPoints = ["http","https"]

[entryPoints]

  [entryPoints.http]

  address = ":80"

  [entryPoints.https]

  address = ":443"

    [entryPoints.https.tls]

      [[entryPoints.https.tls.certificates]]

      CertFile = "/ssl/tls.crt"

      KeyFile = "/ssl/tls.key"

建立起来

kubectl create configmap traefik-conf --from-file=traefik.toml -n kube-system
  • traefik.yaml文件

随便找了段贴上去啊,看详细日志打开

logLevel=DEBUG
apiVersion: v1

kind: Deployment

apiVersion: extensions/v1beta1

metadata:

  name: traefik-ingress-controller

  namespace: kube-system

  labels:

    k8s-app: traefik-ingress-lb

spec:

  replicas:

  selector:

    matchLabels:

      k8s-app: traefik-ingress-lb

  template:

    metadata:

      labels:

        k8s-app: traefik-ingress-lb

        name: traefik-ingress-lb

    spec:

      terminationGracePeriodSeconds:

      volumes:

      - name: ssl

        secret:

          secretName: traefik-cert

      - name: config

        configMap:

          name: traefik-conf

      hostNetwork: true

      containers:

      - image: registry.yourcompany.com/traefik:v1.1.1

        name: traefik-ingress-lb

        volumeMounts:

        - mountPath: "/ssl"

          name: "ssl"

        - mountPath: "/config"

          name: "config"

        resources:

          limits:

            cpu: 200m

            memory: 30Mi

          requests:

            cpu: 100m

            memory: 20Mi

        ports:

        - name: http

          containerPort:

          hostPort:

        - name: https

          containerPort:

          hostPort:

        - name: admin

          containerPort:

        args:

        - --configfile=/config/traefik.toml

        - --web

        - --kubernetes

        - --logLevel=DEBUG

此处的坑是/config/traefik.toml是容器内地址,不是宿主机的路径,不要手贱去修改!

  • 测试

可以在浏览器上直接测试,也可以用命令行。

curl -k https://...

Traefik的TLS配置的更多相关文章

  1. k8s traefik ingress tls

    使用下面的 openssl 命令生成 CA 证书: $ openssl req -newkey rsa:2048 -nodes -keyout tls.key -x509 -days 365 -out ...

  2. [FTP] Pure-FTPd SSL/TLS 配置方法

    一.准备 & 安装启用 Pure-FTPd SSL/TLS 连接方式在安装时需要检查以下两项:1.系统中是否已经安装了 openssl 和 openssl-devel 包?2.在编译 Pure ...

  3. ETCD TLS 配置的坑

    一.环境准备 环境总共 3 台虚拟机,系统为centos7,1个 master,2 个 etcd 节点,master 同时也作为 node 负载 pod,在分发证书等阶段将在另外一台主机上执行,该主机 ...

  4. Pureftp SSL/TLS配置

    一.准备 & 安装 启用 Pure-FTPd SSL/TLS 连接方式在安装时需要检查以下两项: 1.系统中是否已经安装了 openssl 和 openssl-devel 包? 2.在编译 P ...

  5. SSL/TLS 配置

    Quick Start 下列说明将使用变量名 $CATALINA_BASE 来表示多数相对路径所基于的基本目录.如果没有为 Tomcat 多个实例设置 CATALINA_BASE 目录,则 $CATA ...

  6. Traefik HTTPS 配置

    参考 add-a-tls-certificate-to-the-ingress Entry Points Definition 使用traefik作为ingress controller透出集群中的h ...

  7. kubernetes Traefik ingress配置详解

    理解Ingress 简单的说,ingress就是从kubernetes集群外访问集群的入口,将用户的URL请求转发到不同的service上.Ingress相当于nginx.apache等负载均衡方向代 ...

  8. Traefik实现Kubernetes集群服务外部https访问

    转载请注明出处:http://www.cnblogs.com/wayneiscoming/p/7707942.html traefik 是一个前端http反向代理服务器以及负载均衡器,支持多种微服务后 ...

  9. 使用traefik作为kubernetes的ingress

    目录 说明 部署 创建一个独立的命名空间 配置rbac授权 配置secret 创建一个configmap用于存放traefik的配置文件 配置traefik的deployment文件 配置服务 通过p ...

随机推荐

  1. A Tutorial on Network Embeddings

    A Tutorial on Network Embeddings paper:https://arxiv.org/abs/1808.02590   NE 的中心思想就是找到一种映射函数,该函数将网络中 ...

  2. LightOJ - 1370

    Bi-shoe and Phi-shoe Time Limit: 2000MS   Memory Limit: 32768KB   64bit IO Format: %lld & %llu S ...

  3. opencv c++基本操作

    常用操作 imread imread (char *filename, int flag=1); 第二个参数,int类型的flags,为载入标识,它指定一个加载图像的颜色类型.可以看到它自带缺省值1. ...

  4. 8种json数据查询方式

    你有没有对“在复杂的JSON数据结构中查找匹配内容”而烦恼.这里有8种不同的方式可以做到: JsonSQL JsonSQL实现了使用SQL select语句在json数据结构中查询的功能. 例子: ? ...

  5. php详解和优化

    nginx结合php使用FastCGI方式 apache结合php,php是作为一个模块加载到apache中 (1)FastCGI工作原理 1.用户发送http请求报文给nginx服务器 2.ngin ...

  6. ubuntu要安装新软件,已有deb安装包

    如果ubuntu要安装新软件,已有deb安装包(例如:iptux.deb),但是无法登录到桌面环境.那该怎么安装?答案是:使用dpkg命令.dpkg命令常用格式如下:sudo dpkg -I iptu ...

  7. NHibernate框架与BLL+DAL+Model+Controller+UI 多层架构十分相似--『Spring.NET+NHibernate+泛型』概述、知识准备及介绍(一)

    原文://http://blog.csdn.net/wb09100310/article/details/47271555 1. 概述 搭建了Spring.NET+NHibernate的一个数据查询系 ...

  8. POJ 3259 Wormholes【最短路/SPFA判断负环模板】

    农夫约翰在探索他的许多农场,发现了一些惊人的虫洞.虫洞是很奇特的,因为它是一个单向通道,可让你进入虫洞的前达到目的地!他的N(1≤N≤500)个农场被编号为1..N,之间有M(1≤M≤2500)条路径 ...

  9. 洛谷P2751[USACO]工序安排

    题目传送门 怎么说呢,这个题目我刚开始随便乱搞了几下,交了个暴力代码上去居然还水了49分,数据确实有点弱啊,然后看到洛谷上那位大佬Redbag的题解瞬间就佩服的五体投地,那真的是简洁.易懂又高效.直接 ...

  10. jq函数绑定与解绑

    最近学到几个新的jq函数 1.bind()绑定函数 2.unbind()解绑函数 3.add() .给元素追加字符串 4.addClass() 给某元素增加class属性值