我的书签
添加书签
移除书签无 TLS 终止的 Ingress Gateway
安全网关说明了如何为 HTTP 服务配置 HTTPS 访问入口。 而本示例将说明如何为 HTTPS 服务配置 HTTPS 访问入口, 即配置 Ingress Gateway 以执行 SNI 透传,而不是对传入请求进行 TLS 终止。
本任务中的 HTTPS 示例服务是一个简单的 NGINX 服务。在接下来的步骤中, 您首先在 Kubernetes 集群中创建一个 NGINX 服务。接着, 通过网关给这个服务配置一个域名是 nginx.example.com 的访问入口。
Istio 包括了对 Kubernetes Gateway API 的 Beta 支持, 打算未来使其成为流量管理的默认 API。 以下说明指导您在网格中配置流量管理时如何选择使用 Gateway API 或 Istio 配置 API。 请按照您的首选项遵循 Gateway API 或 Istio APIs 页签中的指示说明。
本文使用 Gateway API 配置内部网格(东西)流量。 使用 Gateway API 配置内部网格流量目前是一个还在开发的实验性特性, 也是 Istio 特有的功能。在使用 Gateway API 指令之前,请确保:
安装 实验版本 的 Gateway API CRD:
$ kubectl kustomize "github.com/kubernetes-sigs/gateway-api/config/crd/experimental?ref=v1.1.0" | kubectl apply -f -
安装 Istio 时,通过将
PILOT_ENABLE_ALPHA_GATEWAY_API环境变量设置为true使 Istio 读取 Alpha 版本的 Gateway API 资源:$ istioctl install --set values.pilot.env.PILOT_ENABLE_ALPHA_GATEWAY_API=true --set profile=minimal -y
准备工作
按照安装指南部署 Istio。
生成客户端和服务端的证书和密钥
对于此任务,您可以使用自己喜欢的工具来生成证书和密钥。以下命令使用 openssl:
创建根证书和私钥来为您的服务签名证书:
$ openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=example Inc./CN=example.com' -keyout example.com.key -out example.com.crt
为
nginx.example.com创建证书和私钥:$ openssl req -out nginx.example.com.csr -newkey rsa:2048 -nodes -keyout nginx.example.com.key -subj "/CN=nginx.example.com/O=some organization"$ openssl x509 -req -sha256 -days 365 -CA example.com.crt -CAkey example.com.key -set_serial 0 -in nginx.example.com.csr -out nginx.example.com.crt
部署一个 NGINX 服务
创建一个 Kubernetes 的 Secret 资源来保存服务的证书:
$ kubectl create secret tls nginx-server-certs --key nginx.example.com.key --cert nginx.example.com.crt
为 NGINX 服务创建一个配置文件:
$ cat <<\EOF > ./nginx.confevents {}http {log_format main '$remote_addr - $remote_user [$time_local] $status ''"$request" $body_bytes_sent "$http_referer" ''"$http_user_agent" "$http_x_forwarded_for"';access_log /var/log/nginx/access.log main;error_log /var/log/nginx/error.log;server {listen 443 ssl;root /usr/share/nginx/html;index index.html;server_name nginx.example.com;ssl_certificate /etc/nginx-server-certs/tls.crt;ssl_certificate_key /etc/nginx-server-certs/tls.key;}}EOF
创建一个 Kubernetes 的 ConfigMap 资源来保存 NGINX 服务的配置:
$ kubectl create configmap nginx-configmap --from-file=nginx.conf=./nginx.conf
部署 NGINX 服务:
$ cat <<EOF | istioctl kube-inject -f - | kubectl apply -f -apiVersion: v1kind: Servicemetadata:name: my-nginxlabels:run: my-nginxspec:ports:- port: 443protocol: TCPselector:run: my-nginx---apiVersion: apps/v1kind: Deploymentmetadata:name: my-nginxspec:selector:matchLabels:run: my-nginxreplicas: 1template:metadata:labels:run: my-nginxspec:containers:- name: my-nginximage: nginxports:- containerPort: 443volumeMounts:- name: nginx-configmountPath: /etc/nginxreadOnly: true- name: nginx-server-certsmountPath: /etc/nginx-server-certsreadOnly: truevolumes:- name: nginx-configconfigMap:name: nginx-configmap- name: nginx-server-certssecret:secretName: nginx-server-certsEOF
要测试 NGINX 服务是否已成功部署,需要从其 Sidecar 代理发送请求, 并忽略检查服务端的证书(使用
curl的-k选项)。 确保正确打印服务端的证书,即common name (CN)等于nginx.example.com。$ kubectl exec "$(kubectl get pod -l run=my-nginx -o jsonpath={.items..metadata.name})" -c istio-proxy -- curl -sS -v -k --resolve nginx.example.com:443:127.0.0.1 https://nginx.example.com...SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384ALPN, server accepted to use http/1.1Server certificate:subject: CN=nginx.example.com; O=some organizationstart date: May 27 14:18:47 2020 GMTexpire date: May 27 14:18:47 2021 GMTissuer: O=example Inc.; CN=example.comSSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.> GET / HTTP/1.1> User-Agent: curl/7.58.0> Host: nginx.example.com...< HTTP/1.1 200 OK< Server: nginx/1.17.10...<!DOCTYPE html><html><head><title>Welcome to nginx!</title>...
配置 Ingress Gateway
定义一个
server部分的端口为 443 的Gateway。 注意,PASSTHROUGH tlsTLS 模式, 该模式指示 Gateway 以 AS IS 方式传递入口流量,而不终止 TLS。$ kubectl apply -f - <<EOFapiVersion: networking.istio.io/v1alpha3kind: Gatewaymetadata:name: mygatewayspec:selector:istio: ingressgateway # 使用 istio 默认的入口网关servers:- port:number: 443name: httpsprotocol: HTTPStls:mode: PASSTHROUGHhosts:- nginx.example.comEOF
为通过
Gateway进入的流量配置路由:$ kubectl apply -f - <<EOFapiVersion: networking.istio.io/v1alpha3kind: VirtualServicemetadata:name: nginxspec:hosts:- nginx.example.comgateways:- mygatewaytls:- match:- port: 443sniHosts:- nginx.example.comroute:- destination:host: my-nginxport:number: 443EOF
根据确定 Ingress IP 和端口中的指令来定义环境变量
SECURE_INGRESS_PORT和INGRESS_HOST。从集群外访问 NGINX 服务。注意,服务端返回了正确的证书, 并且该证书已成功验证(输出了 SSL certificate verify ok)。
$ curl -v --resolve "nginx.example.com:$SECURE_INGRESS_PORT:$INGRESS_HOST" --cacert example.com.crt "https://nginx.example.com:$SECURE_INGRESS_PORT"Server certificate:subject: CN=nginx.example.com; O=some organizationstart date: Wed, 15 Aug 2018 07:29:07 GMTexpire date: Sun, 25 Aug 2019 07:29:07 GMTissuer: O=example Inc.; CN=example.comSSL certificate verify ok.< HTTP/1.1 200 OK< Server: nginx/1.15.2...<html><head><title>Welcome to nginx!</title>
清除
删除已创建的 Kubernetes 资源:
$ kubectl delete secret nginx-server-certs$ kubectl delete configmap nginx-configmap$ kubectl delete service my-nginx$ kubectl delete deployment my-nginx$ kubectl delete gateway mygateway$ kubectl delete virtualservice nginx
删除证书和密钥:
$ rm example.com.crt example.com.key nginx.example.com.crt nginx.example.com.key nginx.example.com.csr
删除本示例中生成的配置文件:
$ rm ./nginx.conf
