4

我已经使用 cert-manager 和letsencrypt 将我的Kubernetes 配置为对我的所有应用程序使用一个通配符SSL 证书,现在的问题是我无法配置子域重定向,因为Ingress 有点“僵硬”。这是我试图实现这一目标的方法:

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: my-wildcard-ingress
  namespace: mynamespace
  annotations:
    kubernetes.io/ingress.class: nginx
    certmanager.k8s.io/cluster-issuer: letsencrypt-prod
    certmanager.k8s.io/acme-challenge-type: dns01
    certmanager.k8s.io/acme-dns01-provider: azuredns
    ingress.kubernetes.io/force-ssl-redirect: "true"
    ingress.kubernetes.io/ssl-redirect: "true"
spec:
  rules:
  - host: "domain.com"
    http:
      paths:
      - path: /
        backend:
          serviceName: some-service
          servicePort: 3000          
  - host: somesub.domain.com
    http:
      paths:
      - path: /
        backend:
          serviceName: some-other-service
          servicePort: 80
  - host: othersub.domain.com
    http:
      paths:
      - path: /
        backend:
          serviceName: one-more-service
          servicePort: 8080          
  - host: "*.domain.com"
    http:
      paths:
      - path: /
        backend:
          serviceName: default-service-to-all-other-non-mapped-subdomains
          servicePort: 8000          

  tls:
  - secretName: domain-com-tls
    hosts:         
     - "*.domain.com.br"

问题是 Ingress 忽略了声明的子域重定向,因为它们没有在“tls:hosts”部分中列出。如果我确实把它们放在那里,它会尝试使用通配符和其他子域以及同一个证书中的其他子域来颁发 SSL 证书,这会导致颁发者拒绝订单,说的很明显:“subdomain.domain.com 和 * .domain.com 是多余的”

有没有其他方法可以声明这些重定向并强制它们使用我的 SSL 通配符证书?

4

2 回答 2

9

好吧,对于任何遇到这种麻烦的人,我已经设法解决它(不是最好的解决方案,但这是一个开始)。为此,我将使用 cert-manager 和letsencrypt。

首先,我创建了一个 ClusterIssuer 来使用letsencrypt为我的证书颁发:

apiVersion: certmanager.k8s.io/v1alpha1
kind: ClusterIssuer
metadata:      
  name: letsencrypt-prod-dns
spec:
  acme:
    dns01:
      providers:
      - azuredns:
          clientID: MY_AZURE_CLIENT_ID
          clientSecretSecretRef:
            key: client-secret
            name: azure-secret
          hostedZoneName: mydomain.com
          resourceGroupName: MY_AZURE_RESOURCE_GROUP_NAME
          subscriptionID: MY_AZURE_SUBSCRIPTION_ID
          tenantID: MY_AZURE_TENANT_ID
        name: azuredns
    email: somemail@mydomain.com
    privateKeySecretRef:
      key: ""
      name: letsencrypt-prod-dns
    server: https://acme-v02.api.letsencrypt.org/directory

然后我为我的所有子域创建了一个后备入口(这个将是证书生成器):

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  annotations:
    certmanager.k8s.io/acme-challenge-type: dns01
    certmanager.k8s.io/acme-dns01-provider: azuredns
    certmanager.k8s.io/cluster-issuer: letsencrypt-prod-dns
    ingress.kubernetes.io/force-ssl-redirect: "true"
    ingress.kubernetes.io/ssl-redirect: "true"    
    kubernetes.io/ingress.class: nginx    
  name: wildcard-ingress
  namespace: some-namespace  
spec:
  rules:
  - host: '*.mydomain.com'
    http:
      paths:
      - backend:
          serviceName: some-default-service
          servicePort: 80
        path: /      
  tls:
  - hosts:
    - '*.mydomain.com'
    - mydomain.com
    secretName: wildcard-mydomain-com-tls

请注意,我已经在 TLS 部分声明了通配符和绝对路径,因此证书对于没有子域的 URL 也有效。

此时,对您域的任何请求都将使用 SSL 重定向到“some-default-service”(证书管理器将在您创建后备入口后立即发出新证书。这可能需要一段时间,一旦证书- manager dns01 issuer 还不成熟),太好了!!!

但是,如果您需要将某些特定的子域重定向到另一个服务怎么办?没问题(因为它们在同一个命名空间上运行),您所要做的就是为您的子域创建一个新入口,将其指向您现有的 wildcard-mydomain-com-tls 证书密钥:

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  annotations:
    ingress.kubernetes.io/force-ssl-redirect: "false"
    ingress.kubernetes.io/ssl-redirect: "true"
    kubernetes.io/ingress.class: nginx
  name: somesubdomain-ingress
  namespace: some-namespace
spec:
  rules:
  - host: somesubdomain.mydomain.com
    http:
      paths:
      - backend:
          serviceName: some-other-service
          servicePort: 8080
        path: /        
  tls:
  - hosts:
    - somesubdomain.mydomain.com
    secretName: wildcard-mydomain-com-tls

简单的peasy柠檬榨汁!!!现在您的 somesubdomain.mydomain.com 会覆盖您的后备规则并将用户发送到另一个应用程序。您应该注意的唯一一件事是,该密钥仅对“some-namespace”命名空间有效,如果您需要在另一个命名空间中使用此证书,您可以:

  1. 将秘密从命名空间“some-namespace”复制到“other-namespace”。如果您这样做,请记住 cert-manager 不会为“其他命名空间”自动更新此证书,因此,每次您的证书过期时,您都必须再次复制密钥。
  2. 为您拥有的每个命名空间重新创建后备入口,因此您将为每个命名空间拥有一个新证书。这种方法更加冗长,但是,它是全自动的。

我想就是这样。希望那里的人可以从这些信息中受益。

干杯

于 2018-08-31T13:04:30.997 回答
2

所以这里最好的做法可能是不使用 ingress-shim 来管理您的证书资源。

相反,您可以手动创建证书资源,然后引用它在所有入口中生成的密钥。

我们目前正在探索解决这个入口限制的选项,但是到目前为止还没有任何进展!

于 2018-08-10T12:03:07.930 回答