方法一:对所有ingress进行配置
- 阿里云申请通配符域名
由于目前还没有交易的情景,并且暂时没有较多用户的敏感信息,目前申请的是域名型证书,保证通信是加密传输即可。参考阿里云文档:https://help.aliyun.com/document_detail/98574.html?spm=a2c4g.11186623.6.603.59a020674FUyXO(域名所有权验证选自动验证即可)
目前申请好的是*.seec.seecoder.cn,这种通配符域名只允许一级子域名,像a.b.seec.seecoder.cn是不符合要求的。
下载nginx版证书,包括.key和.pem文件
将证书上传至服务器
为需要的服务配置ingress规则
手动配置某个应用的ingress:
- 用申请好的证书创建secret:
1 | kubectl create secret tls [secretName] --cert=[pem文件路径] --key=[key文件路径] --namespace [namespace] |
- 修改ingress配置:
1 | kubectl edit ingress [ingress name] -n [namespace] |
- 在spec下加入tls配置:
secretName对应创建好的secret名,hosts必须和rules下的域名完全匹配
注意:一个ingress只能用一个secret,然后hosts中的域名必须都被该证书所支持
1 | spec: |
方法二:配置k8s默认证书
通过paas为每个应用的ingress增加tls的功能会出现证书不生效,而采用k8s默认证书的情况。
因此决定配置Nginx默认证书,这里可以参考rancher文档。
- 首先生成secrets
1 | kubectl create secret tls seecoder-paas --cert=./certificate/6044117__seec.seecoder.cn.pem --key=./certificate/6044117__seec.seecoder.cn.key --namespace seec -o yaml --dry-run=true > ingress-default-cert.yaml |
- 修改启动参数
1 | kubectl -n ingress-nginx edit daemonset nginx-ingress-controller |
在container的参数中加入- --default-ssl-certificate=seec/seecoder-paas
(也就是namespace + 刚刚生成的secret名)
- 删除nginx入口控制器pods以让配置生效,k8s会自动重新生成
1 | kubectl delete pod -l app=ingress-nginx -n ingress-nginx |