当前位置：首页 > news >正文

k8s之ingress定义https访问方式

news 2025/7/25 8:40:51

接上文：https://blog.csdn.net/soso678/article/details/149607069?spm=1001.2014.3001.5502

定义后端应用与service

[root@master ingress]# cat my-nginx.yml 
apiVersion: apps/v1
kind: Deployment
metadata:name: my-nginx
spec:selector:matchLabels:run: my-nginxreplicas: 2template:metadata:labels:run: my-nginxspec:containers:- name: my-nginximage: nginximagePullPolicy: IfNotPresentports:- containerPort: 80
---
apiVersion: v1
kind: Service
metadata:name: my-nginxlabels:run: my-nginx
spec:ports:- port: 80targetPort: 80selector:run: my-nginx

定义secret

你可以通过设定包含 TLS 私钥和证书的Secret 来保护 Ingress。 Ingress 资源只支持一个 TLS 端口 443，并假定 TLS 连接终止于 Ingress 节点（与 Service 及其 Pod 间的流量都以明文传输）。如果 Ingress 中的 TLS 配置部分指定了不同主机，那么它们将通过 SNI TLS 扩展指定的主机名（如果 Ingress 控制器支持 SNI）在同一端口上进行复用。 TLS Secret 的数据中必须包含键名为 tls.crt 的证书和键名为 tls.key 的私钥，才能用于 TLS 目的

先对购买的证书进行base64编码
[root@master ssl]# cat ssl.key | base64 -w 0
[root@master ssl]# cat ssl.crt | base64 -w 0将证书定义成secret
[root@master ssl]# cat ssl-secret.yml
apiVersion: v1
kind: Secret
metadata:name: secret-tls
type: kubernetes.io/tls
data:tls.crt: base64 编码的证书tls.key: base64 编码的私钥[root@master ssl]# kubectl apply -f ssl-secret.yml 
secret/secret-tls created
[root@master ssl]# kubectl get secret 
NAME                  TYPE                                  DATA   AGE
secret-tls            kubernetes.io/tls                     2      3s

定义ingress转发规则

在 Ingress 中引用此 Secret 将会告诉 Ingress 控制器使用 TLS 加密从客户端到负载均衡器的通道。你要确保所创建的 TLS Secret 创建自包含 https-example.foo.com 的公共名称（Common Name，CN）的证书。这里的公共名称也被称为全限定域名（Fully Qualified Domain Name，FQDN）。

说明：

注意，不能针对默认规则使用 TLS，因为这样做需要为所有可能的子域名签发证书。因此，tls 字段中的 hosts 的取值需要与 rules 字段中的 host 完全匹配。

[root@master ssl]# cat nginx-ingress.yml 
kind: Ingress
apiVersion: networking.k8s.io/v1
metadata:name: test-https-ingress
spec:ingressClassName: nginxtls:- hosts:- www.test-nginx.comsecretName: secret-tlsrules:- host: www.test-nginx.comhttp:paths:- path: /pathType: Prefixbackend:service:name: my-nginxport:number: 80
[root@master ssl]# kubectl apply -f nginx-ingress.yml 
ingress.networking.k8s.io/test-https-ingress created
[root@master ssl]# kubectl get ingress
NAME                 CLASS   HOSTS                ADDRESS   PORTS     AGE
test-https-ingress   nginx   www.test-nginx.com             80, 443   4s

nginx-ingress-controller运行在node1,node2两个节点上。

如果网络中有dns服务器，在dns中把这两个域名映射到nginx-ingress-controller运行的任意一个节点上，如果没有dns服务器只能修改host文件了。

任意一个节点上操作：(客户端解析)

我这里有两个节点部署了控制器，ip分别为172.16.229.7，172.16.229.8 ，如果有多个，可以随便选。

在wind电脑设置本地解析