您可以为在EDAS容器服务Kubernetes集群中部署的应用添加SSL证书,为应用提供HTTPS保护,将所有Web流量加密以防数据遭到窃取和篡改,从而保证应用的安全性。本文将以一个示例介绍如何实现应用的数据加密传输。
前提条件
示例场景
本示例将以一个hello-edas的Web应用为例介绍如何通过使用阿里云SSL域名证书实现应用的数据加密传输。
hello-edas应用部署在EDAS容器服务Kubernetes集群中,通过负载均衡SLB提供服务,服务域名为edas.site。您购买了阿里云SSL域名证书, 准备将该证书添加到hello-edas应用中,实现应用的数据传输加密,以保证应用的安全性。您需要完成以下操作步骤:
在负载均衡SLB中创建证书
在容器服务Kubernetes版中为应用创建服务(Dashboard)
说明 容器服务Kubernetes版控制台和Dashboard的功能有些差别,推荐您使用Dashboard创建服务。
- 在使用文本创建页签中输入YAML或JSON格式定义的资源,部署在当前所选的K8s Namespace内,然后单击上传。
配置SLB时,需要注意以下限制:
- 使用已有SLB会强制覆盖已有监听。
- 创建服务时新建的SLB不能复用(会导致SLB被意外删除)。
- 复用同一个SLB的多个服务不能设置相同的服务端口,否则会造成端口冲突。
- 不支持跨集群复用SLB。
配置SLB,有两种情况:- 已有公网SLB,可以基于以下YAML示例修改配置。
apiVersion: v1 kind: Service metadata: annotations: service.beta.kubernetes.io/alibaba-cloud-loadbalancer-cert-id: xxxxxxxxxxxxxxxxxxxxxxxxxxx # 负载均衡创建的证书ID service.beta.kubernetes.io/alibaba-cloud-loadbalancer-protocol-port: http:80,https:443 service.beta.kubernetes.io/alicloud-loadbalancer-address-type: internet # 公网SLB service.beta.kubernetes.io/alicloud-loadbalancer-id: xxxxxx # 已有SLB的ID service.beta.kubernetes.io/alicloud-loadbalancer-force-override-listeners: true name: app-test-https # 任意命名,例如internet-{{应用名}}-{{随机字符串}} namespace: default spec: ports: - name: http-80 port: 80 protocol: TCP targetPort: 8080 - name: https-443 port: 443 protocol: TCP targetPort: 8080 selector: edas.appid: xxxxx-xxxx-xxxxx-xxxxxxxx # EDAS容器服务Kubernetes集群中部署的应用的ID sessionAffinity: None type: LoadBalancer - 新建SLB,需要在YAML示例中删除以下3个参数配置。
service.beta.kubernetes.io/alicloud-loadbalancer-address-type: internet # 公网SLB service.beta.kubernetes.io/alicloud-loadbalancer-id: xxxxxx # 已有SLB的ID service.beta.kubernetes.io/alicloud-loadbalancer-force-override-listeners: true
如果您想了解或使用更多通过SLB访问Kubernetes服务的参数,请参见注释。返回服务页面,等待服务创建成功。服务创建成功后,可以看到服务的外部端点显示
<SLB IP>:<配置的port>,并且包含HTTPS的443端口信息。则说明该服务创建成功,如下图所示。
在云解析DNS中添加域名和域名解析
您需要在云解析DNS中添加域名和域名解析,以便您提供服务的域名可以通过HTTPS访问。更多信息,请参见域名管理和添加解析记录。
结果验证
操作完成后,检查是否可以通过HTTPS安全访问服务域名。
- 查看服务是否可以正常访问,且地址栏显示访问是安全的。
在文档使用中是否遇到以下问题
更多建议
匿名提交