nginx-ingressコントローラを使用してGKEに新しいkubernetesクラスタをセットアップしました。 TLSは機能していません。偽の証明書を使用しています。私はレポをしたように、構成の詳細の多くはKubernetes NGINX入力コントローラがTLS証明書を取得しない
あり - https://github.com/jobevers/test_ssl_ingress
要するに手順は、GKEのロードバランサ
- を作成し、私とのTLS秘密を作成しますキーと証明書
- nginx-ingressデプロイメント/ポッドの作成
- イングレスコントローラの作成
nginx-ingressの設定はhttps://zihao.me/post/cheap-out-google-container-engine-load-balancer/です(ingress-nginxのレポの多くの例とよく似ています)。
私ingress.yamlは、私はカール実行すると、私はまだ、デフォルトの証明書を使用していることを示している
$ curl -kv https://35.196.134.52
[...]
* common name: Kubernetes Ingress Controller Fake Certificate (does not match '35.196.134.52')
[...]
* issuer: O=Acme Co,CN=Kubernetes Ingress Controller Fake Certificate
[...]
とほぼ同じです。
どうすれば私を使って取得するのですか?
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: test-ssl-ingress
annotations:
kubernetes.io/ingress.class: "nginx"
spec:
tls:
- secretName: tls-secret
rules:
- http:
paths:
- path:/
backend:
serviceName: demo-echo-service
servicePort: 80
kubectl create secret tls tls-secret --key tls/privkey.pem --cert tls/fullchain.pem
デバッグさらに、証明書が発見され、サーバー上に存在している:
$ kubectl -n kube-system exec -it $(kubectl -n kube-system get pods | grep ingress | head -1 | cut -f 1 -d " ") -- ls -1 /ingress-controller/ssl/
default-fake-certificate-full-chain.pem
default-fake-certificate.pem
default-tls-secret-full-chain.pem
default-tls-secret.pem
そして、ログから、私は
kubectl -n kube-system log -f $(kubectl -n kube-system get pods | grep ingress | head -1 | cut -f 1 -d " ")
[...]
I1013 17:21:45.423998 6 queue.go:111] syncing default/test-ssl-ingress
I1013 17:21:45.424009 6 backend_ssl.go:40] starting syncing of secret default/tls-secret
I1013 17:21:45.424135 6 ssl.go:60] Creating temp file /ingress-controller/ssl/default-tls-secret.pem236555242 for Keypair: default-tls-secret.pem
I1013 17:21:45.424946 6 ssl.go:118] parsing ssl certificate extensions
I1013 17:21:45.743635 6 backend_ssl.go:102] found 'tls.crt' and 'tls.key', configuring default/tls-secret as a TLS Secret (CN: [...])
[...]
しかし、nginx.confを見て、そのはまだ偽の本命を使用して参照してください。
$ kubectl -n kube-system exec -it $(kubectl -n kube-system get pods | grep ingress | head -1 | cut -f 1 -d " ") -- cat /etc/nginx/nginx.conf | grep ssl_cert
ssl_certificate /ingress-controller/ssl/default-fake-certificate.pem;
ssl_certificate_key /ingress-controller/ssl/default-fake-certificate.pem;
入力定義と秘密の定義を追加できますか? –
@NorbertvanNobelenが元の質問を更新しました – jobevers