您的位置: 首页  >  技术问答  >  Kubernetes NGINX Ingress控制器没有拿起TLS证书

Kubernetes NGINX Ingress控制器没有拿起TLS证书

分类: 技术问答 2022-03-31 17:48:52
问题描述:

我使用nginx-ingress控制器在GKE上设置了一个新的kubernetes集群。 TLS不起作用,它使用假证书。Kubernetes NGINX Ingress控制器没有拿起TLS证书

有很多配置细节,所以我做了一个回购协议 - https://github.com/jobevers/test_ssl_ingress

总之步骤是

  • 创建没有GKE的负载平衡器一个新的集群
  • 创建TLS秘密与我key and cert
  • 创建一个nginx入口部署/ pod
  • 创建一个入口控制器

nginx-ingress配置来自https://zihao.me/post/cheap-out-google-container-engine-load-balancer/(看起来非常类似于ingress-nginx回购中的很多示例)。

我ingress.yaml几乎是相同的the example one

当我运行袅袅,我得到

$ curl -kv https://35.196.134.52 
[...] 
* common name: Kubernetes Ingress Controller Fake Certificate (does not match '35.196.134.52') 
[...] 
* issuer: O=Acme Co,CN=Kubernetes Ingress Controller Fake Certificate 
[...]

这表明我仍在使用默认的证书。

我该如何得到它使用我的?

Ingress definition

apiVersion: extensions/v1beta1 
kind: Ingress 
metadata: 
    name: test-ssl-ingress 
    annotations: 
    kubernetes.io/ingress.class: "nginx" 
spec: 
    tls: 
    - secretName: tls-secret 
    rules: 
    - http: 
     paths: 
     - path:/
     backend: 
      serviceName: demo-echo-service 
      servicePort: 80

Creating the secret

kubectl create secret tls tls-secret --key tls/privkey.pem --cert tls/fullchain.pem

调试进一步,该证书被发现存在于服务器上:

$ kubectl -n kube-system exec -it $(kubectl -n kube-system get pods | grep ingress | head -1 | cut -f 1 -d " ") -- ls -1 /ingress-controller/ssl/ 
default-fake-certificate-full-chain.pem 
default-fake-certificate.pem 
default-tls-secret-full-chain.pem 
default-tls-secret.pem

而且,从日志中,我看到

kubectl -n kube-system log -f $(kubectl -n kube-system get pods | grep ingress | head -1 | cut -f 1 -d " ") 
[...] 
I1013 17:21:45.423998  6 queue.go:111] syncing default/test-ssl-ingress 
I1013 17:21:45.424009  6 backend_ssl.go:40] starting syncing of secret default/tls-secret 
I1013 17:21:45.424135  6 ssl.go:60] Creating temp file /ingress-controller/ssl/default-tls-secret.pem236555242 for Keypair: default-tls-secret.pem 
I1013 17:21:45.424946  6 ssl.go:118] parsing ssl certificate extensions 
I1013 17:21:45.743635  6 backend_ssl.go:102] found 'tls.crt' and 'tls.key', configuring default/tls-secret as a TLS Secret (CN: [...]) 
[...]

但是,看着nginx.conf,其依然采用了假证书:

$ kubectl -n kube-system exec -it $(kubectl -n kube-system get pods | grep ingress | head -1 | cut -f 1 -d " ") -- cat /etc/nginx/nginx.conf | grep ssl_cert 
     ssl_certificate       /ingress-controller/ssl/default-fake-certificate.pem; 
     ssl_certificate_key      /ingress-controller/ssl/default-fake-certificate.pem;
+0

你可以添加你的入口定义和秘密定义吗? –

+0

@NorbertvanNobelen更新了原来的问题 – jobevers

原来,入口定义需要看起来像:

apiVersion: extensions/v1beta1 
kind: Ingress 
metadata: 
    name: test-ssl-ingress 
    annotations: 
    kubernetes.io/ingress.class: "nginx" 
spec: 
    tls: 
    - hosts: 
     - app.example.com 
     secretName: tls-secret 
    rules: 
    - host: app.example.com 
     http: 
     paths: 
     - path:/
      backend: 
      serviceName: demo-echo-service 
      servicePort: 80

根据规则nee ds来匹配tls下的一个主机条目。

相关推荐