使用ALB Ingress时配置HTTPS证书以实现加密通信_容器计算服务(ACS)-阿里云帮助中心

使用HTTPS协议的监听时，您需要配置SSL/TLS证书以确保监听与客户端的加密连接。本文介绍ALB Ingress支持的多种配置证书的方法。

证书配置方式对比

ALB Ingress支持三种配置证书的方式：自动发现证书、Secret证书和ALBConfig指定证书。三种配置方式的对比如下。

对比项	自动发现证书	ALBConfig指定证书	Secret证书
证书存储方式	阿里云数字证书中心。		集群内的Secret资源。
证书发现方式	使用域名匹配自动发现。	通过数字证书中心生成的证书ID发现。	指定集群内的Secret资源发现。
适用场景	适用于已在阿里云数字证书中心购买证书或上传证书的场景。		适用于需要在集群内部管理证书的场景，例如使用cert-manager类的管理工具时。
跨命名空间使用	支持。		不支持，仅支持在Secret资源所处的命名空间使用。
更新证书方式	在数字证书管理服务控制台上传新证书或续费证书后，更新Ingress资源。		更新Secret资源的内容。

重要

单个ALB实例支持的证书上限为25个。通常情况下，单个ALB实例所使用的证书数量等于此ALB实例所有监听的证书数量之和（包括关联在Ingress资源上的证书）。具体的计算方法，请参见ALB配额计算方式。

证书管理方式兼容性说明

如果同时使用了多种证书配置方式，证书的管理方式和兼容性如下所示。

证书配置情况	说明
在Ingress中同时使用了自动发现证书和Secret证书。	如果自动发现证书和Secret证书属于同一域名，那么Secret证书具有更高的优先级。如果自动发现证书和Secret证书属于不同的域名，那么ALB Ingress Controller会为每个域名分别选择相应的证书。
同时使用了自动发现证书和ALBConfig指定证书，并且它们关联的Listener相同。	如果在ALBConfig中指定了证书，则此Listener不会使用自动发现证书。
同时使用了Secret证书和ALBConfig指定证书，并且它们关联的Listener相同。	ALBConfig指定证书和Secret证书是可以完全兼容的，并且可以同时使用。

前提条件

已获取到可信的数字证书。您可以从以下几个途径获取数字证书：

从阿里云数字证书中心购买证书。具体操作，请参见购买正式证书。
从其他CA购买的证书。
（可选）参照本文中的生成自签名证书步骤生成自签名证书。

操作流程

重要

默认AlbConfig配置一个监听端口为80、协议为HTTP的监听，您还需要创建HTTPS监听，并完成配置证书。如果未配置证书，HTTPS监听则不可用，Controller会存在由于缺少证书导致的失败事件。

步骤一：AlbConfig中创建HTTPS监听

使用以下命令，编辑albconfig配置文件。
```
kubectl edit albconfig <Albconfig_Name>
```

根据您的需求修改配置，可以在AlbConfig中设置port和protocol，以创建相应的监听。

apiVersion: alibabacloud.com/v1
kind: AlbConfig
metadata:
  name: alb
spec:
  config:
    addressAllocatedMode: Fixed
    addressType: Internet
    zoneMappings:
    - vSwitchId: vsw-bp19sXXXXXXX176iv
    - vSwitchId: vsw-bp1boXXXXXXXu74xz
  listeners:
  - port: 80
    protocol: HTTP
  - port: 443           # 新增内容  
    protocol: HTTPS     # 新增内容

（可选）步骤二：生成自签名证书

如果还未获取证书，执行以下命令可以通过OpenSSL创建自签名证书。

重要

由于缺乏可靠的CA认证，自签名证书在浏览器和客户端中默认不受信任，通常会导致客户在访问时收到安全警告。本文中生成的自签名证书仅作为示例，请勿在生产环境中使用。

openssl genrsa -out albtop-key.pem 4096
openssl req -subj "/CN=demo.alb.ingress.top" -sha256  -new -key albtop-key.pem -out albtop.csr
echo subjectAltName = DNS:demo.alb.ingress.top > extfile.cnf
openssl x509 -req -days 3650 -sha256 -in albtop.csr -signkey albtop-key.pem -out albtop-cert.pem -extfile extfile.cnf

预期输出：

Certificate request self-signature ok
subject=CN=demo.alb.ingress.top

说明

命令中的demo.alb.ingress.top是生成的自签名证书所关联的域名。如果您已拥有自己的域名，请进行替换。

步骤三：创建示例资源

除了ALBConfig外，ALB Ingress还需要Deployment、Service、IngressClass、Ingress这4种资源才能正常工作，您可以使用以下示例快速创建这4种资源。

创建https-quickstart.yaml文件，并将以下内容拷贝到该文件中并保存。

展开查看YAML内容

apiVersion: networking.k8s.io/v1
kind: IngressClass
metadata:
  name: https-ingressclass
spec:
  controller: ingress.k8s.alibabacloud/alb
  parameters:
    apiGroup: alibabacloud.com
    kind: AlbConfig
    name: alb # 修改为AlbConfig资源的名称
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: https-ingress
spec:
  ingressClassName: https-ingressclass
  rules:
  - host: demo.alb.ingress.top # demo.alb.ingress.top替换为证书关联的域名
    http:
      paths:
      - backend:
          service:
            name: https-svc
            port:
              number: 443
        path: /
        pathType: Prefix
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: https-deploy
spec:
  replicas: 1
  selector:
    matchLabels:
      app: https-deploy
  template:
    metadata:
      labels:
        app: https-deploy
    spec:
      containers:
        - image: registry.cn-hangzhou.aliyuncs.com/acs-sample/old-nginx:latest
          imagePullPolicy: IfNotPresent
          name: https-deploy
          ports:
            - containerPort: 80
              protocol: TCP
---
apiVersion: v1
kind: Service
metadata:
  name: https-svc
spec:
  ports:
    - name: port1
      port: 443
      protocol: TCP
      targetPort: 80
  selector:
    app: https-deploy
  sessionAffinity: None
  type: ClusterIP

（可选）如果在ALBConfig中同时配置了使用HTTP协议的监听与使用HTTPS协议的监听，请在Ingress中添加annotations字段，以保证Ingress同时适用于多个监听，修改内容如下：

使用多个监听时添加annotations

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: https-ingress
  annotations:
    alb.ingress.kubernetes.io/listen-ports: '[{"HTTP": 80},{"HTTPS": 443}]' # 使用多个监听时需要添加annotation使ALB Ingress正常工作
spec:
  #...

执行以下命令创建。
```
kubectl apply -f https-quickstart.yaml
```

步骤四：配置证书

使用自动发现证书

在将证书上传到阿里云数字证书中心后，您可以通过在Ingress中的tls字段里填入证书关联的域名，使ALB Ingress自动发现并使用已上传的证书。

将自签名证书上传至阿里云数字证书中心。具体操作，请参见上传和共享SSL证书。

更新Ingress配置。

执行以下命令编辑Ingress。
```
kubectl edit ingress https-ingress
```

添加tls字段，填入证书关联的域名。

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: https-ingress
  namespace: default
spec:
  ingressClassName: alb
  rules:
  - host: demo.alb.ingress.top
    http:
      #...
  tls:
  - hosts:
    - demo.alb.ingress.top # 需要和“rules: host“字段中的域名保持一致，同时是证书关联的域名

说明

完成使用自动发现证书方式配置后，关联的ALB实例会自动创建HTTPS:443监听。

使用Secret证书

您可以将证书保存在集群的Secret资源中，并在Ingress中使用。

执行以下命令，使用Base64对证书和私钥编码。请将albtop-key.pem和albtop-cert.pem替换为实际的私钥文件和证书文件。
```
echo -n `cat albtop-key.pem` | base64 
```
```
echo -n `cat albtop-cert.pem` | base64
```

创建Secret。

创建https-secret.yaml，代码示例如下。请将{base64 albtop-key.pem}和{base64 albtop-cert.pem}完整替换为上一步输出的Base64编码。

apiVersion: v1
kind: Secret
metadata:
  name: https-secret
type: kubernetes.io/tls
data:
  tls.key: |                  
    {base64 albtop-key.pem} 
  tls.crt: |                 
    {base64 albtop-cert.pem}

执行以下命令，创建Secret。
```
kubectl apply -f https-secret.yaml
```

更新Ingress配置。

执行以下命令编辑Ingress。
```
kubectl edit ingress https-ingress
```

添加tls字段，填入证书关联的域名，以及secret资源的名称。

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: https-ingress
  namespace: default
spec:
  ingressClassName: alb
  rules:
  - host: demo.alb.ingress.top
    http:
      #...
  tls:
  - hosts:
    - demo.alb.ingress.top # 需要和“rules: host“字段中的域名保持一致，同时是证书关联的域名
    secretName: https-secret

说明

完成使用Secret方式配置证书后，数字证书管理服务的SSL证书管理中会自动上传名称为default-https-secret-******的证书，关联的ALB实例会自动创建HTTPS:443监听。

使用AlbConfig指定证书

在将证书上传到阿里云数字证书中心后，您可以在AlbConfig中的监听的CertificateId字段填入证书的ID，以便为监听关联已上传的证书。

说明

如果监听配置了证书，那么此监听下的Ingress将不再使用自动发现证书。

上传自签名证书至阿里云数字证书中心。具体操作，请参见上传和共享SSL证书。
获取证书ID。
1. 登录数字证书管理服务控制台。
2. 在左侧导航栏，选择证书管理 > SSL证书管理。
3. 在SSL证书管理页面，单击上传证书页签，在目标证书操作列下单击更多。
  在证书详情面板中获取CertIdentifier。

关联证书至AlbConfig。

执行以下命令编辑AlbConfig。

kubectl edit albconfig <ALBCONFIG_NAME> # <ALBCONFIG_NAME>替换AlbConfig的名称

在监听中添加certificates字段，填入之前步骤中获取的CertIdentifier。

apiVersion: alibabacloud.com/v1
kind: AlbConfig
metadata:
  name: alb
spec:
  config:
    addressType: Intranet
    name: xiaosha-alb-test
  listeners:
    - port: 80
      protocol: HTTP
    - certificates:
        - CertificateId: 756****-cn-hangzhou   # 证书的CertIdentifier。
          IsDefault: true                      # 是否为默认证书。
      port: 443
      protocol: HTTPS

执行以下命令编辑Ingress。
```
kubectl edit ingress https-ingress
```

新增alb.ingress.kubernetes.io/listen-ports: '[{"HTTPS": 443}]'注释。

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    alb.ingress.kubernetes.io/listen-ports: '[{"HTTPS": 443}]'  # 新增，如果需要同时监听HTTP和HTTPS协议时修改为'[{"HTTP": 80},{"HTTPS": 443}]' 。
  name: https-ingress
spec:
  ingressClassName: https-ingressclass
  rules:
  - host: demo.alb.ingress.top # demo.alb.ingress.top替换为证书关联的域名
    http:
      paths:
      - backend:
          service:
            name: https-svc
            port:
              number: 443
        path: /
        pathType: Prefix

说明

完成使用AlbConfig指定证书方式配置后，关联的ALB实例会自动创建HTTPS:443监听。

步骤五：效果验证

通过使用HTTPS协议访问服务，可以验证配置证书的效果。

执行以下命令，查看Ingress信息。

kubectl get ingress