Kubernetes EKS Ingress и TLS

Я пытаюсь выполнить ОЧЕНЬ обычную задачу для приложения:

Назначьте сертификат и защитите его с помощью TLS / HTTPS.

Я провел почти день, просматривая документацию и пробуя несколько разных тактик, чтобы заставить это работать, но у меня ничего не работает.

Первоначально я настраивал nginx-ingress на EKS с помощью Helm, следуя документации здесь: https://github.com/nginxinc/kubernetes-ingress. Я попытался заставить работать пример приложения (кафе), используя следующую конфигурацию:

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: cafe-ingress
spec:
  tls:
  - hosts:
    - cafe.example.com
    secretName: cafe-secret
  rules:
  - host: cafe.example.com
    http:
      paths:
      - path: /tea
        backend:
          serviceName: tea-svc
          servicePort: 80
      - path: /coffee
        backend:
          serviceName: coffee-svc
          servicePort: 80

Вход и все поддерживаемые службы / развертывания работали нормально, но не хватает одной важной вещи: вход не имеет связанного адреса / ELB:

NAME           HOSTS                 ADDRESS   PORTS     AGE
cafe-ingress   cafe.example.com                80, 443   12h

Сервисные LoadBalancers создают ресурсы ELB, то есть:

testnodeapp    LoadBalancer   172.20.4.161     a64b46f3588fe...   80:32107/TCP     13h

Однако Ingress не создает адрес. Как мне получить доступ к контроллеру Ingress, доступному извне на EKS, для обработки TLS / HTTPS?


kubernetes amazon-eks
person Ken J    schedule 16.07.2018    source источник

Ответы (2)


arrow_upward
13
arrow_downward

Я воспроизвел каждый шаг, необходимый для запуска EKS с безопасным входом. Я надеюсь, что это поможет всем, кто хочет быстро и безопасно разместить свое приложение на EKS.

Чтобы начать работу с EKS:

  1. Разверните EKS с помощью шаблона CloudFormation здесь: имейте в виду, что я ограничил доступ с помощью CidrIp: 193.22.12.32/32. Измените это в соответствии со своими потребностями.

  2. Установите клиентские инструменты. Следуйте инструкциям здесь.

  3. Настроить клиента. Следуйте инструкциям здесь.
  4. Включите рабочие узлы. Следуйте инструкциям здесь.

Вы можете убедиться, что кластер запущен и работает, и вы указываете на него, запустив:

kubectl get svc

Теперь вы запускаете тестовое приложение с входом nginx.

ПРИМЕЧАНИЕ. Все размещается в пространстве имен ingress-nginx. В идеале это было бы шаблоном для создания в разных пространствах имен, но для целей этого примера это работает.

Разверните nginx-ingress:

kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/mandatory.yaml
kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/provider/cloud-generic.yaml

Загрузите rbac.yml из здесь. Запустить:

kubectl apply -f rbac.yml

Подготовьте сертификат и ключ для тестирования. Создайте необходимый секрет вот так:

kubectl create secret tls cafe-secret --key mycert.key --cert mycert.crt -n ingress-nginx

Скопируйте файл coffee.yml из сюда. Скопируйте файл coffee-ingress.yml с сюда. Обновите домен, в котором вы хотите его запустить. Беги так

kubectl apply -f coffee.yaml
kubectl apply -f coffee-ingress.yaml

Обновите CNAME для своего домена, чтобы он указывал на АДРЕС для:

kubectl get ing -n ingress-nginx -o wide

Обновите кеш DNS и проверьте домен. Вы должны получить защищенную страницу со статистикой запросов. Я реплицировал это несколько раз, поэтому, если это не сработает, проверьте шаги, конфигурацию и сертификат. Также проверьте журналы модуля nginx-ingress-controller *.

kubectl logs pod/nginx-ingress-controller-*********** -n ingress-nginx

Это должно дать вам некоторое представление о том, что не так.

person Ken J    schedule 18.07.2018
comment
Похоже на raw.githubusercontent.com/kubernetes/ingress-nginx/ master / имеет ClusterRole и Binding. Не уверен, что нужен ваш rbac.yml. @ ken-j вы можете подтвердить? - person sgraham; 15.09.2018
comment
Когда я это делаю, поле АДРЕС остается пустым. - person Dan Tenenbaum; 05.01.2020

arrow_upward
0
arrow_downward

Чтобы Ingress ресурс работал, в кластере должен быть Ingress-контроллер настроен.

Это отличается от других типов контроллеров, которые обычно запускаются как часть двоичного файла kube-controller-manager и которые обычно запускаются автоматически как часть создания кластера.

Для EKS с helm вы можете попробовать:

helm registry install quay.io/coreos/alb-ingress-controller-helm

Затем настройте ресурс Ingress:

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: test-ingress
  annotations:
    kubernetes.io/ingress.class: nginx
    kubernetes.io/tls-acme: 'true'
spec:
  rules:
  - host: YOUR_DOMAIN
    http:
      paths:
      - path: /
        backend:
          serviceName: ingress-example-test
          servicePort: 80
  tls:
  - secretName: custom-tls-cert
    hosts:
    - YOUR_DOMAIN

Примените конфиг:

kubectl create -f ingress.yaml

Затем создайте секрет с сертификатами TLS:

kubectl create secret tls custom-tls-cert --key /path/to/tls.key --cert /path/to/tls.crt

и ссылка на них в определении Ingress:

tls:
  - secretName: custom-tls-cert
    hosts:
    - YOUR_DOMAIN

В следующем примере конфигурации показано, как настроить контроллер Ingress:

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: nginx-ingress-controller
  labels:
    k8s-app: nginx-ingress-controller
spec:
  replicas: 1
  selector:
    matchLabels:
      k8s-app: nginx-ingress-controller
  template:
    metadata:
      labels:
        k8s-app: nginx-ingress-controller
    spec:
      # hostNetwork makes it possible to use ipv6 and to preserve the source IP correctly regardless of docker configuration
      # however, it is not a hard dependency of the nginx-ingress-controller itself and it may cause issues if port 10254 already is taken on the host
      # that said, since hostPort is broken on CNI (https://github.com/kubernetes/kubernetes/issues/31307) we have to use hostNetwork where CNI is used
      # like with kubeadm
      # hostNetwork: true
      terminationGracePeriodSeconds: 60
      containers:
      - image: quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.17.1
        name: nginx-ingress-controller
        readinessProbe:
          httpGet:
            path: /healthz
            port: 10254
            scheme: HTTP
        livenessProbe:
          httpGet:
            path: /healthz
            port: 10254
            scheme: HTTP
          initialDelaySeconds: 10
          timeoutSeconds: 1
        ports:
        - containerPort: 80
          hostPort: 80
        - containerPort: 443
          hostPort: 443
        env:
          - name: POD_NAME
            valueFrom:
              fieldRef:
                fieldPath: metadata.name
          - name: POD_NAMESPACE
            valueFrom:
              fieldRef:
                fieldPath: metadata.namespace
        args:
        - /nginx-ingress-controller
        - --default-backend-service=$(POD_NAMESPACE)/default-http-backend
        - --publish-service=$(POD_NAMESPACE)/nginx-ingress-lb

Затем примените указанную выше конфигурацию, после чего вы можете проверить службы для внешнего IP:

kubectl get service nginx-controller -n kube-system

Внешний IP-адрес - это адрес, который заканчивается на одном из узлов Kubernetes в соответствии с настройками внешних механизмов маршрутизации. При настройке в определении службы, как только запрос достигает узла, трафик перенаправляется в конечную точку службы.

Дополнительные примеры приведены в документации Kubernetes.

person d0bry    schedule 17.07.2018
comment
Ваш ответ неясен. nginx-controller не определен в yaml. Как создается nginx-контроллер? - person Ken J; 17.07.2018
comment
У вас также нет пространств имен, определенных для kube-system. alb-ingress-controller-helm не создает эту службу. - person Ken J; 17.07.2018