iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 24
0
DevOps

不知所云之 KK8s 實務記憶篇系列 第 24

網站提供 https 安全連線服務 - Istio 範例

前面兩篇文章,都是以 nginx ingress 為範例,今日來簡略說明 Istio 面向的 HTTPS 範例。

憑證管理

Istio 預設範疇中,也是使用Cert-Manager方式管理、申請憑證( Let’s Encrypt )。觀念與設定方面皆與此篇憑證管理大致相同。
透過定義Certificate yaml進行憑證申請,但在 Istio ingress 使用上有一點要注意,就是憑證的儲存名稱:secretName: istio-ingressgateway-certs
如果沒遵循此約定,則 Istio ingress 無法直接存取此憑證。

Certificate yaml

apiVersion: certmanager.k8s.io/v1alpha1
kind: Certificate
metadata:
  name: cert-demo-web.com
  namespace: istio-system
spec:
  acme:
    config:
    - dns01:
        provider: gcp-dns
      domains:
      - '*.demo-web.com'
      - demo-web.com
  commonName: '*.demo-web.com'
  dnsNames:
  - demo-web.com
  issuerRef:
    kind: ClusterIssuer
    name: letsencrypt
  secretName: istio-ingressgateway-certs

Istio ingress

Istio 安裝後,預設的ingress名稱是:istio-ingressgateway
Ingress resource實現 Istio 管理入口路由、規則、監控等面向的流量流入內部Service。
Istio 實現上分成兩部分:GatewayVirtualService

Gateway yaml

此部分定義了網站的入口閘道,相關的域名https服務。
有關於https服務中,Istio 透過 File Mount 方式讀取憑證(預設名稱:istio-ingressgateway-certs),實現HTTPS服務入口閘道。

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: httpbin-gateway
spec:
  selector:
    istio: ingressgateway # use istio default ingress gateway
  servers:
  - port:
      number: 443
      name: https
      protocol: HTTPS
    tls:
      mode: SIMPLE
      serverCertificate: /etc/istio/ingressgateway-certs/tls.crt
      privateKey: /etc/istio/ingressgateway-certs/tls.key
    hosts:
    - "httpbin.example.com"

VirtualService yaml

此部分定義了網站的入口路由。

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: httpbin
spec:
  hosts:
  - "httpbin.example.com"
  gateways:
  - httpbin-gateway
  http:
  - match:
    - uri:
        prefix: /status
    - uri:
        prefix: /delay
    route:
    - destination:
        port:
          number: 8000
        host: httpbin

以上兩項istio ingress resource賦予了網站入口的使命,缺一不可。


上一篇
網站提供 https 安全連線服務 - 憑證與Ingress整合
下一篇
需要額外的 非http 連線
系列文
不知所云之 KK8s 實務記憶篇31

尚未有邦友留言

立即登入留言