【优创比拼】不改一行代码,让你的web应用支持https协议
云平台并非浪得虚名。
基于它,你的应用很可能像权贵的干儿子,虽出身平凡,但是可凭空获得一切。
比如,你的web应用本出身平凡,穷的连https都不支持,但是有了云平台的基础支持,你都不用改一行代码,就可以让它支持https协议,获得应用本身的安全加固。
如何做?
其实就是基于kubernetes本身的 Ingress + tsl 机制。
步骤如下:
生成私钥 tls.key, 密钥位数是 2048
# openssl genrsa -out tls.key 2048
使用 tls.key 生成自签证书
# openssl req -new -x509 -key tls.key -out tls.crt -subj /C=CN/ST=GuangDong/L=Guangzhou/O=DevOps/CN=myhttpbin.com
生成服务自签信息,名字为httpbin
# kubectl create secret tls httpbin --cert=tls.crt --key=tls.key
创建httpbin的 deloyment, service等,代码太多,此处忽略,创建了名字为httpbin的service。实际使用的时候这里应该部署的是你自己的服务。
apiVersion: v1
kind: Service
metadata:
name: httpbin
labels:
app: httpbin
spec:
ports:
- name: http
port: 8000
targetPort: 80
selector:
app: httpbin
配置ingress并配置tls和自签信息(名字为httpbin):
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: httpbin
namespace: default
annotations:
kubernetes.io/ingress.class: "nginx"
spec:
tls:
- hosts:
- myhttpbin.com
secretName: httpbin
rules:
- host: myhttpbin.com
http:
paths:
- backend:
serviceName: httpbin
servicePort: 8000
path: /
关键代码如下,这里指定了tls,并通过secretName的方式关联了自签信息:
tls:
- hosts:
- myhttpbin.com
secretName: httpbin
电脑主机添加/etc/hosts
172.21.92.223 myhttpbin.com
备注:172.21.92.223为Ingress controller的ip地址
访问http://myhttpbin.com,则会自动重定向为https://myhttpbin.com
抓包,发现已经是https通信了http://cdn.u1.huluxia.com/g4/M00/15/20/rBAAdl8_QciAD3VGAABmz7-TCYQ125.jpg
一行代码没改(真的是没改代码),但是如今你的服务(本例是httpbin)已经支持https的访问方式了。
整个过程的细节如下:http://cdn.u1.huluxia.com/g4/M00/15/20/rBAAdl8_QcqAeK0JAACQ5LVuSxA131.jpg
总结:
在 Ingress 中配置tls将会告诉 Ingress controller 使用 TLS 加密从客户端到后台服务(httpbin)的通道。当客户端(比如浏览器)通过http的方式访问httpbin的时候,ingress controller会通过返回308代码的方式让客户端重定向到https链接。
Secret的自签证书信息是设置在ingress controller上的,因为我们看到httpbin服务本身并不支持https的方式。
最终,这种方式实现了以非侵入的方式让你的服务支持https协议。
来源网络,侵删
页:
[1]