【优创比拼】不改一行代码,让你的web应用支持https协议

[复制链接]
查看2210 | 回复0 | 2020-9-4 00:14:35 | 显示全部楼层 |阅读模式

云平台并非浪得虚名。
基于它,你的应用很可能像权贵的干儿子,虽出身平凡,但是可凭空获得一切。
比如,你的web应用本出身平凡,穷的连https都不支持,但是有了云平台的基础支持,你都不用改一行代码,就可以让它支持https协议,获得应用本身的安全加固。
如何做?
其实就是基于kubernetes本身的 Ingress + tsl 机制。
步骤如下:
生成私钥 tls.key, 密钥位数是 2048
# openssl genrsa -out tls.key 2048
使用 tls.key 生成自签证书
# openssl req -new -x509 -key tls.key -out tls.crt -subj /C=CN/ST=GuangDong/L=Guangzhou/O=DevOps/CN=myhttpbin.com
生成服务自签信息,名字为httpbin
# kubectl create secret tls httpbin --cert=tls.crt --key=tls.key
创建httpbin的 deloyment, service等,代码太多,此处忽略,创建了名字为httpbin的service。实际使用的时候这里应该部署的是你自己的服务。
apiVersion: v1
kind: Service
metadata:
  name: httpbin
  labels:
    app: httpbin
spec:
  ports:
  - name: http
    port: 8000
    targetPort: 80
  selector:
    app: httpbin
配置ingress并配置tls和自签信息(名字为httpbin):
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: httpbin
  namespace: default
  annotations:
    kubernetes.io/ingress.class: "nginx"

spec:
  tls:
  - hosts:
    - myhttpbin.com
    secretName: httpbin
  rules:
  - host: myhttpbin.com
    http:
      paths:
      - backend:
          serviceName: httpbin
          servicePort: 8000
        path: /
关键代码如下,这里指定了tls,并通过secretName的方式关联了自签信息:
tls:
  - hosts:
    - myhttpbin.com
    secretName: httpbin
电脑主机添加/etc/hosts
172.21.92.223 myhttpbin.com
备注:172.21.92.223为Ingress controller的ip地址
访问http://myhttpbin.com,则会自动重定向为https://myhttpbin.com
抓包,发现已经是https通信了
一行代码没改(真的是没改代码),但是如今你的服务(本例是httpbin)已经支持https的访问方式了。
整个过程的细节如下:
总结:
在 Ingress 中配置tls将会告诉 Ingress controller 使用 TLS 加密从客户端到后台服务(httpbin)的通道。当客户端(比如浏览器)通过http的方式访问httpbin的时候,ingress controller会通过返回308代码的方式让客户端重定向到https链接。
Secret的自签证书信息是设置在ingress controller上的,因为我们看到httpbin服务本身并不支持https的方式。
最终,这种方式实现了以非侵入的方式让你的服务支持https协议。

来源网络,侵删
aaaa
村长黑科技是专业提供项目资源的服务的村长黑科技平台,如合购网赚项目、引流推广软件、软件程序开发等项目就选村长黑科技平台,参与或发布项目定制各种软件就来村长黑科技平台
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则