配置HTTPS证书以实现加密通信

使用HTTPS协议的监听时,您需要配置SSL/TLS证书以确保监听与客户端的加密连接。本文介绍ALB Ingress支持的多种配置证书的方法。

证书配置方式对比

ALB Ingress支持三种配置证书的方式:自动发现证书、Secret证书和AlbConfig指定证书。三种配置方式的对比如下。

对比项

自动发现证书

AlbConfig指定证书

Secret证书

证书存储方式

阿里云数字证书中心。

集群内的Secret资源。

证书发现方式

使用域名匹配自动发现。

通过数字证书中心生成的证书ID发现。

指定集群的内的Secret资源发现。

适用场景

适用于已在阿里云数字证书中心已购买证书或上传证书的场景。

适用于需要在集群内部管理证书的场景,例如使用cert-manager类的管理工具时。

跨命名空间使用

支持。

不支持,仅支持在Secret资源所处的命名空间使用。

更新证书方式

数字证书管理服务控制台上传新证书或续费证书后,更新Ingress资源。

更新Secret资源的内容。

重要

单个ALB实例支持的证书上限为25个。通常情况下,单个ALB实例所使用的证书数量等于此ALB实例所有监听的证书数量之和(包括关联在Ingress资源上的证书)。具体的计算方法,请参见ALB配额计算方式

证书管理方式兼容性说明

如果同时使用了多种证书配置方式,证书的管理方式和兼容性如下所示。

证书配置情况

说明

在Ingress中同时使用了自动发现证书和Secret证书。

  • 如果自动发现证书和Secret证书属于同一域名,那么Secret证书具有更高的优先级。

  • 如果自动发现证书和Secret证书属于不同的域名,那么ALB Ingress Controller会为每个域名分别选择相应的证书。

同时使用了自动发现证书和AlbConfig指定证书,并且它们关联的Listener相同。

如果在AlbConfig中指定了证书,则此Listener不会使用自动发现证书。

同时使用了Secret证书和AlbConfig指定证书,并且它们关联的Listener相同。

AlbConfig指定证书和Secret证书是可以完全兼容的,并且可以同时使用。

前提条件

(可选)步骤一:生成自签名证书

如果还未获取证书,执行以下命令可以通过OpenSSL创建自签名证书。

重要

由于缺乏可靠的CA认证,自签名证书在浏览器和客户端中默认不受信任,通常会导致客户访问时收到安全警告。本文中生成的自签名证书仅作为示例,请勿在生产环境中使用。

openssl genrsa -out albtop-key.pem 4096
openssl req -subj "/CN=demo.alb.ingress.top" -sha256  -new -key albtop-key.pem -out albtop.csr  # demo.alb.ingress.top可替换为您的域名
echo subjectAltName = DNS:demo.alb.ingress.top > extfile.cnf  # demo.alb.ingress.top可替换为您的域名
openssl x509 -req -days 3650 -sha256 -in albtop.csr -signkey albtop-key.pem -out albtop-cert.pem -extfile extfile.cnf
说明

命令中的demo.alb.ingress.top是生成的自签名证书所关联的域名。如果您已拥有自己的域名,请进行替换。

步骤二:创建示例资源

除了AlbConfig外,ALB Ingress还需要Deployment、Service、IngressClass、Ingress这4种资源才能正常工作,您可以使用以下的示例快速创建这4种资源。

  1. 创建https-quickstart.yaml文件,并将以下内容拷贝到该文件中并保存。

    apiVersion: networking.k8s.io/v1
    kind: IngressClass
    metadata:
      name: https-ingressclass
    spec:
      controller: ingress.k8s.alibabacloud/alb
      parameters:
        apiGroup: alibabacloud.com
        kind: AlbConfig
        name: alb # 修改为AlbConfig资源的名称
    ---
    apiVersion: networking.k8s.io/v1
    kind: Ingress
    metadata:
      name: https-ingress
    spec:
      ingressClassName: https-ingressclass
      rules:
      - host: demo.alb.ingress.top # demo.alb.ingress.top替换为证书关联的域名
        http:
          paths:
          - backend:
              service:
                name: https-svc
                port:
                  number: 443
            path: /
            pathType: Prefix
    ---
    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: https-deploy
    spec:
      replicas: 1
      selector:
        matchLabels:
          app: https-deploy
      template:
        metadata:
          labels:
            app: https-deploy
        spec:
          containers:
            - image: registry.cn-hangzhou.aliyuncs.com/acs-sample/old-nginx:latest
              imagePullPolicy: IfNotPresent
              name: https-deploy
              ports:
                - containerPort: 80
                  protocol: TCP
    ---
    apiVersion: v1
    kind: Service
    metadata:
      name: https-svc
    spec:
      ports:
        - name: port1
          port: 443
          protocol: TCP
          targetPort: 80
      selector:
        app: https-deploy
      sessionAffinity: None
      type: ClusterIP
  2. (可选)如果在AlbConfig中同时配置了使用HTTP协议的监听与使用HTTPS协议的监听,请在Ingress中添加annotations字段,以保证Ingress同时适用于多个监听,修改内容如下:

    使用多个监听时添加annotations

    apiVersion: networking.k8s.io/v1
    kind: Ingress
    metadata:
      name: https-ingress
      annotations:
        alb.ingress.kubernetes.io/listen-ports: '[{"HTTP": 80},{"HTTPS": 443}]' # 使用多个监听时需要添加annotation使ALB Ingress正常工作
    spec:
      #...
  3. 执行以下命令创建。

    kubectl apply -f https-quickstart.yaml

步骤三:配置证书

使用自动发现证书

在将证书上传到阿里云数字证书中心后,您可以通过在Ingress中的tls字段里填入证书关联的域名,使ALB Ingress自动发现并使用已上传的证书。

  1. 将自签名证书上传至阿里云数字证书中心。具体操作,请参见上传和分享SSL证书

  2. 更新Ingress配置。

    1. 执行以下命令编辑Ingress。

      kubectl edit ingress https-ingress
    2. 添加tls字段,填入证书关联的域名。

      apiVersion: networking.k8s.io/v1
      kind: Ingress
      metadata:
        name: https-ingress
        namespace: default
      spec:
        ingressClassName: alb
        rules:
        - host: demo.alb.ingress.top
          http:
            #...
        tls:
        - hosts:
          - demo.alb.ingress.top # 需要和“rules: host“字段中的域名保持一致,同时是证书关联的域名

使用Secret证书

您可以将证书保存在集群的Secret资源中,并在Ingress中使用。

  1. 执行以下命令,使用Base64对证书和私钥编码。

    echo -n `cat albtop-key.pem` | base64 # albtop-key.pem替换为私钥文件
    echo -n `cat albtop-cert.pem` | base64 # albtop-cert.pem替换为证书文件
  2. 创建Secret。

    1. 创建https-secret.yaml,代码示例如下。

      apiVersion: v1
      kind: Secret
      metadata:
        name: https-secret
      type: kubernetes.io/tls
      data:
        tls.key: |
          {base64 albtop-key.pem} # Base64编码后的albtop-cert.pem。
        tls.crt: |
          {base64 albtop-cert.pem}  # Base64编码后的albtop-key.pem。
    2. 执行以下命令,创建Secret。

      kubectl apply -f https-secret.yaml
  3. 更新Ingress配置。

    1. 执行以下命令编辑Ingress。

      kubectl edit ingress https-ingress
    2. 添加tls字段,填入证书关联的域名,以及secret资源的名称。

      apiVersion: networking.k8s.io/v1
      kind: Ingress
      metadata:
        name: https-ingress
        namespace: default
      spec:
        ingressClassName: alb
        rules:
        - host: demo.alb.ingress.top
          http:
            #...
        tls:
        - hosts:
          - demo.alb.ingress.top # 需要和“rules: host“字段中的域名保持一致,同时是证书关联的域名
          secretName: https-secret

使用AlbConfig指定证书

在将证书上传到阿里云数字证书中心后,您可以在AlbConfig中的监听的CertificateId字段填入证书的ID,为监听关联已上传的证书。

说明

如果监听配置了证书,那么此监听下的Ingress不会再使用自动发现证书。

  1. 上传自签名证书至阿里云数字证书中心。具体操作,请参见上传和分享SSL证书

  2. 获取证书ID。

    1. 登录数字证书管理服务控制台

    2. 在左侧导航栏,选择证书管理 > SSL证书管理

    3. SSL证书页面,单击上传证书页签,在目标证书操作列下选择图标 > 详情

      证书详情面板中获取CertIdentifier

  3. 关联证书至AlbConfig。

    1. 执行以下命令编辑AlbConfig。

      kubectl edit albconfig <ALBCONFIG_NAME> # <ALBCONFIG_NAME>替换AlbConfig的名称
    2. 在监听中添加certificates字段,填入之前步骤中获取的CertIdentifier

      apiVersion: alibabacloud.com/v1
      kind: AlbConfig
      metadata:
        name: alb
      spec:
        config: #...
        listeners:
          - port: 443
            protocol: HTTPS
            certificates:
            - CertificateId: 756****-cn-hangzhou # 证书的CertIdentifier
              IsDefault: true # 是否为默认证书
          - port: #...
            protocol: #...

步骤四:效果验证

通过使用HTTPS协议访问服务,可以验证配置证书的效果。

  1. 执行以下命令,查看Ingress信息。

    kubectl get ingress

    预期输出:

    NAME            CLASS                HOSTS                  ADDRESS                         PORTS     AGE
    https-ingress   https-ingressclass   demo.alb.ingress.top   alb-********.alb.aliyuncs.com   80, 443   83m

    记录下HOSTSADDRESS部分的值,以便后续步骤使用。

  2. 执行以下命令,使用HTTPS协议连接ALB Ingress访问后端服务。其中的demo.alb.ingress.topalb-********.alb.aliyuncs.com请替换为在上一步中得到的值。

    curl -H HOST:demo.alb.ingress.top -k https://alb-********.alb.aliyuncs.com

    预期输出如下,则表明证书配置成功:

    old

相关文档