Nginx Ingress 配置 HTTPS 协议

为保证公网环境下的通信安全，业务使用 Ingress 暴露到公网时，通常使用 HTTPS 协议通信。本文为您介绍如何配置 HTTPS 协议的 Nignx Ingress。

前提条件

• 已连接集群。详情请参见 连接集群。
• 已在集群中安装 ingress-nginx 组件。详情请参见 ingress-nginx 组件。
• 已在火山引擎 SSL 证书服务 购买或使用 OpenSSL 创建 SSL 证书和密钥。

操作步骤

步骤一：配置保密字典

1. 已获取 SSL 证书和密钥，本文以tls.key和tls.crt为例。
2. 执行以下命令，创建名称为 ingress-secret，类型为kubernetes.io/tls的保密字典。

kubectl create secret tls ingress-secret --key tls.key --cert tls.crt

步骤二：配置路由规则

1. 创建 Ingress 的 YAML 文件。示例文件nginx-ingress.yaml代码如下：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: nginx-ingress # 路由规则的名称
spec:
  ingressClassName: nginx # 指定 Ingress Controller
  rules:
  - host: example.com # 转发规则域名
    http:
      paths:
      - backend:
          service:
            name: service-demo # 请求被转发到的目标服务名称
            port:
              number: 80 # 请求被转发到的目标服务开放端口号
        path: / # 访问路径
        pathType: Prefix # 路径类型：Exact（精确匹配）/Prefix（前缀匹配）
  tls:
  - hosts:
    - example.com # （可选）指定需要加密的域名。不配置表示加密所有的域名
    secretName: ingress-secret # 指定 ingress 使用的保密字典名称

2. 执行以下命令，创建 Ingress。

kubectl apply -f nginx-ingress.yaml

结果验证

查看配置

1. 执行以下命令，查看 ingress 配置。

kubectl get ingress

预期返回结果如下，表示 Ingress 创建成功。

NAME            CLASS   HOSTS           ADDRESS           PORTS   AGE
nginx-ingress   nginx   example.com     180.xxx.xxx.xxx   80,443  74s

访问服务

使用以下命令，通过域名访问服务。

curl -H "Host: example.com" https://180.xxx.xxx.xxx --insecure

预期输出如下，表示可以通过域名访问到后端服务。

<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
html { color-scheme: light dark; }
body { width: 35em; margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif; }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>

参考信息

如何使用 OpenSSL 创建自签名证书

1. 在本地环境中，访问 OpenSSL 官网，下载并安装 OpenSSL。
2. 执行以下命令，生成 2048 位的 RSA 私钥。

openssl genrsa -out tls.key 2048

预期结果如下：

Generating RSA private key, 2048 bit long modulus
........+++++
...+++++
e is 65537 (0x10001)

3. 执行以下命令，使用 RSA 私钥生成证书。

openssl req -new -key tls.key -out tls.csr

预期结果如下，需要填写证书的相关信息，包括：国家、地区、组织名称、域名、电子邮件地址等。

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:CN # 2 位国家代码，例如 CN
State or Province Name (full name) []:Shanghai # 地区名称，例如 Shanghai
Locality Name (eg, city) []:Shanghai # 城市名称，例如 Shanghai
Organization Name (eg, company) []:vke # 组织名称
Organizational Unit Name (eg, section) []:vke # 组织中的单位名称
Common Name (eg, fully qualified host name) []:example.com # 该证书对应的域名
Email Address []:user@example.com # 电子邮件地址

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:mypassword # 密码，可以为空

4. 执行以下命令，使用私钥对证书进行签名，有效期配置为 365 天。

openssl x509 -req -in tls.csr -out tls.crt -signkey tls.key -days 365

5. 至此，完成创建 HTTPS 加密所需的私钥（tls.key）和证书（tls.crt）。