介绍
介绍
在上一节课里面福哥带着大家学会了k8s的配置映射Config的使用方法,今天我们要讲讲如何使用SSL证书为k8s的负载均衡LB开启HTTPS的支持!
大家都知道现在主流的浏览器Chrome、Edge都是要求网站使用HTTPS安全方式访问的。如果网站不支持HTTPS安全方式访问,浏览器就会在地址栏左侧用特别显眼的样式显示“不安全”的提示。而且就算使用了HTTPS安全方式访问,如果SSL证书是不合法的或者是过期的,浏览器还是会在地址栏左侧显示“不安全”的提示!
今天福哥就教给大家如何给k8s的负载均衡LB开启HTTPS安全方式访问,把浏览器网站的“不安全”提示去掉~
环境
镜像版本 | rancher/rancher:v2.5.17-rc4 |
操作系统 | CentOS 7 x86_64 2009 |
服务器 | TFCentOS7x64、TFCentOS7x64Node1 |
IP | 192.168.168.68、192.168.168.69 |
端口 | 9443 |
安装
安装szrz工具
szrz是一款可以在SSH终端通过命令行方式实现本地电脑与远程服务器之间的文件上传下载的工具,我们可以使用这个工具把制作好的SSL证书文件从TFCentOS7x64上面下载下来。
当然,如果你的电脑上面有SFTP工具的话,用SFTP工具下载SSL证书也是可以的。
yum -y install lrzsz
自制SSL证书
server.key
创建密钥文件server.key文件。
这个环节会要求输入密码,可以输入一个简单的~
openssl genrsa -des3 -out server.key 1024
上面的命令在输入基本信息的时候,一旦输入错了就得重来,非常恶心!解决办法可以使用“-subj”参数提供各种基本信息!命令如下!
openssl req -new -key server.key -out server.csr -config /etc/pki/tls/openssl.cnf \ -subj "/C=CN/ST=Beijing/L=Dongcheng district/O=tongfu.net/OU=tongfu.net/CN=tfphp-k8s.tongfu.net"
ca.crt & ca.key
创建ca.crt文件和ca.key文件。
这个环节一上来就要输入一个密码,福哥建议输入一个简单的~
这个环节也要填写域名的基本信息,必填项和上一步一样!同样可以使用“-subj”参数输入避免出错重来!
openssl req -new -x509 -keyout ca.key -out ca.crt -config /etc/pki/tls/openssl.cnf \ -subj "/C=CN/ST=Beijing/L=Dongcheng district/O=tongfu.net/OU=tongfu.net/CN=tfphp-k8s.tongfu.net"
使用rzsz工具把它们下载下来备用!
sz server.crt sz server.key.unsecure
为什么这里还是提示“不安全”?因为我们部署的SSL证书是自己制作的,不是SSL证书颁发机构授权的。
如果想要去掉这个“不安全”的提示,需要去到正规的SSL证书颁发机构或者代理平台去申请!目前已知的可以申请到的合法的且免费的SSL证书的平台就是阿里云和腾讯云!
总结
今天福哥带着大家学习了使用SSL证书给Rancher(k8s)的负载均衡(LB)开启HTTPS安全方式访问的方法!
SSL证书分为单独域名证书和泛域名证书两种。理论上每一个域名都要有自己独立的SSL证书,即使是二级域名、三级域名也是如此,此类的域名如:tongfu.net、tfphp.tongfu.net等等。如果自己的域名扩展了很多子级域名的话,可以使用泛域名证书,一张泛域名证书可以为同域的所有子域名做HTTPS安全认证,此类的域名如:*.tongfu.net、*.space.tongfu.net等等。