- 阿里云申请通配符域名
由于目前还没有交易的情景,并且暂时没有较多用户的敏感信息,目前申请的是域名型证书,保证通信是加密传输即可。参考阿里云文档:https://help.aliyun.com/document_detail/98574.html?spm=a2c4g.11186623.6.603.59a020674FUyXO(域名所有权验证选自动验证即可)
目前申请好的是*.seec.seecoder.cn,这种通配符域名只允许一级子域名,像a.b.seec.seecoder.cn是不符合要求的。
下载nginx版证书,包括.key和.pem文件
将证书上传至服务器
为需要的服务配置ingress规则
手动配置某个应用的ingress:
用申请好的证书创建secret:
kubectl create secret tls [secretName] --cert=[pem文件路径] --key=[key文件路径] --namespace [namespace]
修改ingress配置:
kubectl edit ingress [ingress name] -n [namespace]
在spec下加入tls配置:
secretName对应创建好的secret名,hosts必须和rules下的域名完全匹配
注意:一个ingress只能用一个secret,然后hosts中的域名必须都被该证书所支持
spec:
rules:
- host: seecoder-paas-pool.seec.seecoder.cn
http:
paths:
- backend:
serviceName: environment-1-1
tls:
- hosts:
- seecoder-paas-pool.seec.seecoder.cn
secretName: seecoder-paas
方法二:配置k8s默认证书
通过paas为每个应用的ingress增加tls的功能会出现证书不生效,而采用k8s默认证书的情况。
因此决定配置Nginx默认证书,这里可以参考rancher文档。
首先生成secrets
kubectl create secret tls seecoder-paas --cert=*.pem --key=*.key --namespace seec -o yaml --dry-run=true > ingress-default-cert.yaml
修改启动参数
kubectl -n ingress-nginx edit daemonset nginx-ingress-controller
在container的参数中加入- --default-ssl-certificate=[namespace]/[secretName](也就是namespace + 刚刚生成的secret名)
删除nginx入口控制器pods以让配置生效,k8s会自动重新生成
kubectl delete pod -l app=ingress-nginx -n ingress-nginx
参考:https://zhuanlan.zhihu.com/p/81268969
