前言

Traefik是一个现代的HTTP反向代理和负载均衡器,使部署微服务变得容易。

Traefik可以与现有的多种基础设施组件(Docker、Swarm模式、Kubernetes、Marathon、Consul、Etcd、Rancher、Amazon ECS...)集成,并自动和动态地配置自己。

今天我们基于 Traefik on K8S 来详细说明如何对 TLS 安全进行「激进」配置。

环境基本信息

  1. K8S 集群;
  2. 域名:ewhisper.cn(由 DNSPod 进行 DNS 管理,已指向 K8S 集群的 Traefik Ingress 的 LoadBalancer 公网地址)
  3. 使用 cert-manager 自动管理的证书 *.ewhisper.cn 作为 Traefik 的默认证书;cert-manager 位于 cert-manager NameSpace 下
  4. Traefik 2.4.8 安装于 K8S 集群的 kube-system NameSpace 下,且使用 CRDs 进行配置。

「激进」的 TLS 配置

全站受信证书 + HTTPS。具体如下:

  1. 全站 HTTPS 443 端口配置;
  2. 证书来自 Let's Encrypt(由 cert-manager 自动申请)(激进,生产慎用!)
  3. 监听 HTTP 请求,并重定向到 HTTPS;(激进,生产慎用!)
  4. 启用 HSTS 功能(激进,生产慎用!)
  5. TLS 版本限定在 TLS 1.3(激进,生产慎用!)

配置实践

TLS 版本限定在 TLS 1.3

使用 Traefik 的 CRD - TLSOption 配置如下:

apiVersion: traefik.containo.us/v1alpha1

kind: TLSOption

metadata:

  name: default

  namespace: kube-system

spec:

  minVersion: VersionTLS13

说明

  • minVersion: VersionTLS13 指定 TLS 最小版本为 TLS 1.3.

Warning:

以防万一,建议 namespace: kube-system 和 Traefik 所在的 ns 保持一致。

证书

使用 Traefik 的 CRD - TLSStore 配置如下:

apiVersion: traefik.containo.us/v1alpha1

kind: TLSStore

metadata:

  name: default

  namespace: cert-manager

spec:

  defaultCertificate:

    secretName: ewhisper-crt-secret

说明

  • secretName: ewhisper-crt-secret 这个是 cert-manager 自动从 Let's Encrypt 申请到的证书的存放位置(cert-manager 会负责定期自动更新该证书)。Traefik 就使用该证书作为默认证书。

Warning:

TLSStore,注意 namespace: cert-manager 必须要在 证书的 secret 所在的 NameSpace。

接下来 2 个功能:

  1. HTTP 重定向到 HTTPS
  2. 启用 HSTS

都是通过 Traefik CRD - Middleware 来进行配置的。

HTTP 重定向到 HTTPS

Traefik CRD Middleware - redirectshttps 配置如下:

# Redirect to https

apiVersion: traefik.containo.us/v1alpha1

kind: Middleware

metadata:

  name: redirectshttps

  namespace: kube-system

spec:

  redirectScheme:

    scheme: https

    permanent: true

说明

  • redirectScheme: 协议重定向
  • scheme: https: HTTP 协议重定向为 HTTPS
  • permanent: true: 设置为 true 以应用永久重定向。

启用 HSTS

Traefik CRD Middleware - hsts-header 配置如下:

apiVersion: traefik.containo.us/v1alpha1

kind: Middleware

metadata:

  name: hsts-header

  namespace: kube-system

spec:

  headers:

    customResponseHeaders:

      Strict-Transport-Security: 'max-age=63072000'
  • customResponseHeaders 应用于响应头的名称和值。
  • Strict-Transport-Security: 'max-age=63072000': 即 「HTTP严格传输安全」响应头,收到该响应头的浏览器会在 63072000s(约 2 年)的时间内,只要访问该网站,即使输入的是 http,浏览器会自动跳转到 https。(HSTS 是浏览器端的跳转,之前的「HTTP 重定向到 HTTPS」是服务器端的跳转)

具体域名配置

以上的所有配置,包括:

  1. TLS 版本限定在 TLS 1.3
  2. 证书
  3. HTTP 重定向到 HTTPS
  4. 启用 HSTS

都是全局的配置,接下来针对具体的域名 - 这里是 example.ewhisper.cn 进行配置。

使用 Traefik 的 CRD - IngressRoute 配置如下:

apiVersion: traefik.containo.us/v1alpha1

kind: IngressRoute

metadata:

  name: example

  namespace: cert-manager

spec:

  entryPoints:

    - websecure

    - web

  routes:

    - match: Host(`example.ewhisper.cn`)

      kind: Rule

      middlewares:

        - name: hsts-header

          namespace: kube-system

        - name: redirectshttps

          namespace: kube-system

      services:

        - name: example

          namespace: default

          port: 8080

  tls: {}

说明

  • entryPoints: EntryPoints 是进入 Traefik 的网络入口点。它们定义将接收数据包的端口,以及是否侦听 TCP 或 UDP。如下图所示:



    这里 entryPoints 是静态配置,是直接静态配置在 Traefik Deployment 中的,如下图:

    • entryPoint - traefik 地址端口是::9000/tcp
    • entryPoint - web 地址端口是::8000/tcp
    • entryPoint - websecure 地址端口是::8443/tcp,且 tls 为 true
    • 然后,再通过 Serivce Type: LoadBalancer 暴露到公网的: 80 和 443 端口(至于entryPoint - traefik 则还没有通过 SVC 暴露,所以即使配了 IngressRoute 也无法访问),如下:

  • websecure 即:example.ewhisper.cn 可以通过 https://example.ewhisper.cn:443 访问;

  • web 即:example.ewhisper.cn 可以通过 http://example.ewhisper.cn:80 访问;

  • kind: Rule Rule 是一组配置了值的匹配器(即 match),它决定一个特定的请求是否匹配特定的条件。如果规则经过验证,Route 就会成为活动的,调用中间件,然后将请求转发给服务。

  • match: Host(`example.ewhisper.cn`): 这里是检查请求域名(host 报头值)是否以给定域之一(即example.ewhisper.cn)为目标。

  • middlewares: 连接到 Route 的中间件是在请求被发送到你的服务之前(或者在服务的回答被发送到客户端之前)对请求进行调整的一种方法。 在trafik中有几种可用的中间件,一些可以修改请求、报头,一些负责重定向,一些添加身份验证,等等。 使用相同协议的中间件可以组合成链,以适应每个场景。中间件作用如下图所示:

  • name: hsts-header 启用 HSTS 的中间件(可以复用)

  • name: redirectshttps 启用 HTTP 重定向到 HTTPS 的中间件(可以复用)

  • services... 转发到 K8S default NameSpace 下的 example Service 的 8080 端口。

配置生效

假设以上配置都放在 ./traefik-sec 目录下,执行如下命令生效:

kubectl apply -f ./traefik-sec

验证

浏览器访问

直接浏览器访问 http://example.ewhisper.cn 域名,跳转到 http://example.ewhisper.cn, 并且证书已生效。

HTTP 重定向到 HTTPS 已生效

通过 SSL Labs 验证

SSL Labs 的 SSL Server Test 下进行验证。验证结果如下:



评分为 A,且 HSTS 已启用



证书为 *.ewhisper.cn 合法证书



TLS 协议只支持 TLS 1.3

参考资料

三人行, 必有我师; 知识共享, 天下为公. 本文由东风微鸣技术博客 EWhisper.cn 编写.

基于 Traefik 的激进 TLS 安全配置实践的更多相关文章

  1. 基于openresty的https配置实践

    最近机器人项目的子项目,由于和BAT中的一家进行合作,人家要求用HTTPS连接,于是乎,我们要改造我们的nginx的配置,加添HTTPS的支持. 当然了,HTTPS需要的证书,必须是认证机构颁发的,这 ...

  2. 【转】Flume(NG)架构设计要点及配置实践

    Flume(NG)架构设计要点及配置实践   Flume NG是一个分布式.可靠.可用的系统,它能够将不同数据源的海量日志数据进行高效收集.聚合.移动,最后存储到一个中心化数据存储系统中.由原来的Fl ...

  3. 基于nginx+lua+redis高性能api应用实践

    基于nginx+lua+redis高性能api应用实践 前言 比较传统的服务端程序(PHP.FAST CGI等),大多都是通过每产生一个请求,都会有一个进程与之相对应,请求处理完毕后相关进程自动释放. ...

  4. 基于Armitage的MSF自动化集成攻击实践

    基于Armitage的MSF自动化集成攻击实践 目录 0x01 实践环境 0x02 预备知识 0x03 Armitage基础配置 0x04 Nmap:Armitage下信息搜集与漏洞扫描 0x05 A ...

  5. QCon技术干货:个推基于Docker和Kubernetes的微服务实践

    2016年伊始,Docker无比兴盛,如今Kubernetes万人瞩目.在这个无比需要创新与速度的时代,由容器.微服务.DevOps构成的云原生席卷整个IT界.在近期举办的QCon全球软件开发大会上, ...

  6. 基于 Spring Cloud 的微服务架构实践指南(下)

    show me the code and talk to me,做的出来更要说的明白 本文源码,请点击learnSpringCloud 我是布尔bl,你的支持是我分享的动力! 一.引入 上回 基于 S ...

  7. 字节跳动流式数据集成基于Flink Checkpoint两阶段提交的实践和优化

    背景 字节跳动开发套件数据集成团队(DTS ,Data Transmission Service)在字节跳动内基于 Flink 实现了流批一体的数据集成服务.其中一个典型场景是 Kafka/ByteM ...

  8. 基于 Apache Hudi 极致查询优化的探索实践

    摘要:本文主要介绍 Presto 如何更好的利用 Hudi 的数据布局.索引信息来加速点查性能. 本文分享自华为云社区<华为云基于 Apache Hudi 极致查询优化的探索实践!>,作者 ...

  9. 基于xml的Spring多数据源配置和使用

    上一篇讲了<基于注解的Spring多数据源配置和使用>,通过在类或者方法上添加@DataSource注解就可以指定某个数据源.这种方式的优点是控制粒度细,也更灵活. 但是当有些时候项目分模 ...

  10. 基于注解的Spring AOP的配置和使用

    摘要: 基于注解的Spring AOP的配置和使用 AOP是OOP的延续,是Aspect Oriented Programming的缩写,意思是面向切面编程.可以通过预编译方式和运行期动态代理实现在不 ...

随机推荐

  1. Netty 学习(七):NioEventLoop 对应线程的创建和启动源码说明

    Netty 学习(七):NioEventLoop 对应线程的创建和启动源码说明 作者: Grey 原文地址: 博客园:Netty 学习(七):NioEventLoop 对应线程的创建和启动源码说明 C ...

  2. 华为路由器DHCP配置基本命令

    配置基于接口地址池DHCP (动态主机配置协议) [R1]dhcp enable 路由器上开启DHCP [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]dhcp sel ...

  3. 『现学现忘』Git分支 — 40、分支基本操作(一)

    目录 1.创建分支 (1)创建分支 (2)图示理解 2.查看分支列表 3.分支切换 4.查看所有分支的最后一个提交 5.删除分支 1.创建分支 (1)创建分支 Git 是怎么创建新分支的呢? 很简单, ...

  4. ansible使用临时命令通过模块来执行任务

    使用临时命令通过模块来执行任务 一.查看系统上安装的所有模块 ansible-doc -l 查看ping模块帮助文档 ansible-doc ping 1.ansible模块 文件模块: copy:将 ...

  5. 14.api根路由

    我们可以通过使用超链接来提高我们APi的内聚力和可发现性   一.为我们的API创建一个根路径 我们的视图有很多个url,但是没有一个入口点,可以使用@api_view创建一个根路径 #views.p ...

  6. DTSE Tech Talk | 第9期:EiPaaS驱动企业数字化转型

    摘要: 揭秘华为企业集成新模式. 本期直播详解 组装式概念解析 EiPaaS的核心技术能力 华为实践经验分享 EiPaaS未来的技术趋势 直播讲师:华为云PaaS DTSE布道师 傅翌伟 tips:E ...

  7. Codeforces Global Round 18 B. And It's Non-Zero(按位前缀和)

    题目大意:求一段数(l到r)的按位与结果不为零需要删除中间元素的最小个数 思路:按位与使得结果不为0只要有某一位全是1即可,所以只要统计每一位1的个数,用总个数减去1的个数就是某一位0的个数 删除包含 ...

  8. android 代码分析

    1.@Override注解 @Override 注解是用来指定方法重写的,只能修饰方法并且只能用于方法重写,不能修饰其它的元素. 作用是告诉编译器检查这个方法,保证父类要包含一个被该方法重写的方法,否 ...

  9. C#11之原始字符串

    最近.NET7.0和C#11相继发布,笔者也是第一时间就用上了C#11,其中C#11的有一个更新能解决困扰我多年的问题,也就是文章的标题原始字符串. 在使用C#11的原始字符串时,发现的一些有意思的东 ...

  10. 2022春每日一题:Day 38

    题目[USACO17JAN]Promotion Counting P 从根节点dfs一遍,树状数组维护进入和出去时这个节点的贡献,一减就是答案 代码: #include <cstdio> ...