开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何为GKE入口设置TLS连接

基础概念

Google Kubernetes Engine (GKE) 是 Google 提供的托管 Kubernetes 服务，它允许用户在 Google 的基础设施上运行 Kubernetes 集群。为 GKE 入口设置 TLS 连接意味着为集群的入口控制器配置 SSL/TLS 证书，以确保通过 HTTPS 安全地访问集群。

相关优势

安全性：TLS 加密可以保护数据在传输过程中的安全，防止中间人攻击和数据泄露。
合规性：许多行业标准和法规要求使用 TLS 加密来保护数据传输。
信任度：使用 TLS 可以提高用户对服务的信任度，因为用户知道数据是加密传输的。

类型

自签名证书：可以自行生成证书，但需要客户端信任该证书颁发机构。
受信任的证书颁发机构 (CA) 证书：从知名的 CA 获取证书，客户端默认信任这些证书。

应用场景

公共访问：当集群需要通过互联网访问时，设置 TLS 可以保护数据传输。
内部网络：即使在内部网络中，使用 TLS 也可以提供额外的安全层。

遇到的问题及解决方法

问题：如何为 GKE 入口设置 TLS 连接？

解决方法

生成证书和私钥：可以使用 OpenSSL 或其他证书生成工具生成自签名证书和私钥。
生成证书和私钥：可以使用 OpenSSL 或其他证书生成工具生成自签名证书和私钥。
创建 Kubernetes Secret：将生成的证书和私钥转换为 Kubernetes Secret。
创建 Kubernetes Secret：将生成的证书和私钥转换为 Kubernetes Secret。
配置 Ingress 资源：创建或更新 Ingress 资源，指定 TLS 证书和私钥。
配置 Ingress 资源：创建或更新 Ingress 资源，指定 TLS 证书和私钥。
部署 Ingress 控制器：确保 GKE 集群中已经部署了 Ingress 控制器（如 NGINX Ingress 控制器）。
部署 Ingress 控制器：确保 GKE 集群中已经部署了 Ingress 控制器（如 NGINX Ingress 控制器）。

参考链接

通过以上步骤，你可以为 GKE 入口设置 TLS 连接，确保数据传输的安全性。

相关搜索:如何为Mongoose连接设置TLS GKE入口资源返回404，尽管它连接到服务如何为Eloquent设置现有连接如何为Jruby Oracle连接设置SSL？expressjs设置tls连接https nginx服务器请求为入口后面的入口设置安全连接时出现问题-错误的网关 nginx入口控制器0.26.1在GKE v1.14上返回504 (连接到上游时超时)如何为团队中的连接卡设置webhook参数如何为outlook和microsoft团队设置连接器？使用engine_ssl pkcs11进行Nginx配置以设置TLS连接当set_tls_init_handler未设置时，websocketpp如何处理连接？如何为tomcat We服务器连接启用TLS1.2我们使用的是tomcat 7.0.82 Spring:如何为选择的端点设置网络连接超时？在kubernetes中，如何为不同的时间段设置不同的pod数量，如白天和黑夜 Linux -如何为连接的设备设置自定义波特率如何为dotNET核心控制台应用设置Oracle连接字符串？如何为Entity Framework Core设置本地机器的连接字符串？在amazon中设置glassfish应用服务器和mysql实例之间的tls连接如何为Sequelize Postgres在连接时一次为所有模型设置模式？如何为KeyFile客户端身份验证设置连接到web服务的密码？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

A Big Picture of Kubernetes

互联网后台架构技术的发展一日千里。身处技术变革浪潮的后台同学，应该都深切地感受到了云原生技术在公司内外的蓬勃发展。云原生技术正在逐渐成为后台工程师与架构师们的必修课，而 kubernetes 正是云原生的基石，聚光灯下的焦点。

02

Ingress 的继任者 —— Gateway API？

在 Kubernetes 集群边缘对外提供网络服务的时候，通常需要借助 Ingress 对象，这个对象提供了暴露 Service 所必须的核心要素，例如基于主机名的路由、对 URL 路径的适配以及 TLS 配置等。但是在实际开放服务的时候，往往会有更多的具体需求，这时 Ingress 对象所提供的核心功能就有些力不从心了，各种 Ingress 控制器往往会使用 metadata.annotations 中的特定注解，来完成对 Ingress 特定行为的控制，完成各自的个性化功能，例如认证、路径变更、黑白名单等，这就让 Ingress 对象变成了一个奇怪的东西：结构化的核心结构，和非结构化的标注结合起来形成各种 Ingress 方言，并且后期还出现了 Traefik Middleware 这样的 CRD 配置，这给 Ingress 功能的集中管理造成了一个较大的困扰；另外 Ingress 中可以随意定制主机名、路径以及后端服务，也给共享集群的用户造成了一定的安全隐患。包括 Cotour、Traefik 在内的 Ingress 控制器后期都提供了各自的基于 CRD 的功能表达，客观上也让 Ingress 世界更为分裂。例如要移除路径前缀，Nginx Ingress 控制器需要使用 nginx.ingress.kubernetes.io/rewrite-target 注解，而 Traefik 1.7 中则需要使用 traefik.ingress.kubernetes.io/rule-type: PathPrefixStrip 注解。

06

使用 Cilium 服务网格的下一代相互身份验证

该博客描述了 Cilium 如何在不使用 Sidecar 的情况下提供服务网格。在这篇博客中，我们将扩展 mTLS 的主题，并研究 Cilium 如何提供具有出色安全性和性能特征的基于 mTLS 的无边车身份验证。

01

Cilium服务网格的下一代双向认证

该文为前期热门文章《eBPF将如何提供服务网格解决方案--告别sidecar》的后续。其介绍了Cilium提供非sidecar模式的服务网格的解决方案。在本篇文章中，我们将目光扩展到mTLS的主题上，并研究Cilium如何提供基于mTLS非sidecar模式的双向认证，其同时具备出色的安全性和性能优势。

02

Kubernetes网络揭秘：一个HTTP请求的旅程

客座撰稿人：Karen Bruner，StackRox技术专员。原文可以在这里找到。

03

Istio 运维实战系列（2）：让人头大的『无头服务』-上

本系列文章将介绍用户从 Spring Cloud，Dubbo 等传统微服务框架迁移到 Istio 服务网格时的一些经验，以及在使用 Istio 过程中可能遇到的一些常见问题的解决方法。

02

A Kubernetes Service Mesh（第9部分）：使用gRPC的乐趣和收益

原文地址：https://dzone.com/articles/a-service-mesh-for-kubernetes-part-ix-grpc-for-fun

09

使用Kubernetes设备插件和RuntimeClass在入口控制器中实现硬件加速SSL/TLS终止

Kubernetes入口（Ingress）是一种将集群服务连接到集群外部的方法。为了正确地将流量路由到服务后端，集群需要一个入口控制器。Ingress控制器负责根据Ingress API对象的信息为后端设置正确的目的地。实际流量通过代理服务器路由，代理服务器负责诸如负载平衡和SSL/TLS（稍后的“SSL”指SSL或TLS）终止等任务。由于涉及加密操作，SSL终止是一个CPU密集型操作。为了从CPU中卸载一些CPU密集型工作，基于OpenSSL的代理服务器可以利用OpenSSL引擎API和专用加密硬件的优势。这将为其他事情释放CPU周期，并提高代理服务器的总体吞吐量。

02

kubenetes-rancher多集群管理（二十二）

Rancher是一套容器管理平台，它可以帮助组织在生产环境中轻松快捷的部署和管理容器。 Rancher可以轻松地管理各种环境的Kubernetes，满足IT需求并为DevOps团队提供支持。

02

Istio 运维实战系列（2）：让人头大的『无头服务』-上

作者赵化冰，腾讯云高级工程师，Istio contributor，ServiceMesher管理委员，热衷于开源、网络和云计算。目前主要从事服务网格的开源和研发工作。本系列文章将介绍用户从 Spring Cloud，Dubbo 等传统微服务框架迁移到 Istio 服务网格时的一些经验，以及在使用 Istio 过程中可能遇到的一些常见问题的解决方法。什么是『无头服务』？『无头服务』即 Kubernetes 中的 Headless Service。Service 是 Kubernetes 对后端一组提供

为什么选择 Traefik Ingress ？

在解析此概念之前，我们回顾下 Kubernetes 生态组件 Ingress Controller （中文释义：入口控制器）的概念。

07

为什么选择 Traefik Ingress ？

在解析此概念之前，我们回顾下 Kubernetes 生态组件 Ingress Controller （中文释义：入口控制器）的概念。

03

GKE使用eBPF提高容器安全性和可视性

Kubernetes 真正的超级功能之一是其开发者优先的网络模式，它提供了易于使用的功能，如 L3/L4 服务和 L7 入口，将流量引入集群，以及用于隔离多租户工作负载的网络策略。随着越来越多的企业采用 Kubernetes，围绕多云、安全、可视性和可扩展性的新要求，用例的范围也在扩大。此外，服务网格和 serverless 等新技术对 Kubernetes 底层的定制化提出了更多要求。这些新需求都有一些共同点：它们需要一个更加可编程的数据平面，能够在不牺牲性能的情况下执行 Kubernetes 感知的数据包操作。

02

使用Gateway API统一Kubernetes服务网络(再次)

凭借明确定义的一致性和分层API模型，Gateway API已经展现出许多前景和长远发展的可能。

01

kubernetes Service:让客户端发现pod并与之通信

Service 是由 kube-proxy 组件，加上 iptables 来共同实现的。

05

Kubernetes安全加固的几点建议

随着更多的组织开始拥抱云原生技术，Kubernetes已成为容器编排领域的行业标准。向 Kubernetes转变的这股潮流，很大程度上简化了容器化应用程序的部署、扩展和管理，并实现了自动化，为传统的单体式系统提供了胜于传统管理协议的众多优势。

03

了解QUIC协议：HTTP/3的秘密武器

QUIC（Quick UDP Internet Connections）是一种实验性的传输层协议，最初由Google开发，目标是减少Web应用程序的延迟。不同于HTTP/1.1和HTTP/2使用TCP作为其传输协议，QUIC则使用UDP。相比TCP，UDP不需要建立连接，因此可以减少通信的延迟。

03

Kubernetes服务网格（第10部分）：服务网格API

作为我们上个月发布的Linkerd1.0的一部分，我们已经悄悄地看到了很少有人注意的东西——Linkerd的服务网格API。随着1.0版本的发布，我们认为我们需要花些时间来解释这个API的作用，以及它对Linkerd的未来意味着什么。我们还将展示这个API的即将发布的一个功能——动态控制Linkerd的每项服务的通信策略。

09

kubernetes Service:让客户端发现pod并与之通信

Service 是由 kube-proxy 组件，加上 iptables 来共同实现的。

03

六, 跨语言微服务框架 - Istio Ingress和Egress详解(解决Istio无法外网访问问题)

在微服务中另外一个重点就是网关,网关理论包含入口网关和出口网关,传统意义上的网关很难做到出口网络控制,但是对于Istio是一件非常轻松的事情(因为所有的出口流量都会经过Istio),入口网关控制解析路由数据流向,出口网关控制对外访问的限制,在Istio中使用了 Ingress和Egress 来实现网关的功能.

02

对比Kubernetes的Nodeport、Loadbalancer和Ingress，什么时候该用哪种

最近，有人问我 NodePort，LoadBalancer 和 Ingress 之间的区别是什么。它们是将外部流量引入群集的不同方式，并且实现方式不一样。我们来看看它们是如何工作的，以及什么时候该用哪种。

03

Service Mesh: Istio vs Linkerd

根据CNCF的最新年度调查，很明显，很多人对在他们的项目中使用服务网格表现出了浓厚的兴趣，并且许多人已经在他们的生产中使用它们。近69％的人正在评估Istio，64％的人正在研究Linkerd。Linkerd是市场上第一个服务网格，但是Istio使服务网格更受欢迎。这两个项目都是最前沿的，而且竞争非常激烈，因此选择一个项目是一个艰难的选择。在此博客文章中，我们将了解有关Istio和Linkerd体系结构，其运动部件的更多信息，并比较其产品以帮助您做出明智的决定。

02

一文搞懂基于 Kube-Bench 评估 Kubernetes 安全性

Hello folks，我是 Luga，今天我们来介绍另一款开源容器平台安全扫描工具 - Kube-bench。作为 Aqua Security 一款出色的开源产品，其能够基于 Internet 安全中心指南分析 Kubernetes Cluster 运行行为，并为其进行安全评估。‍‍‍‍

Kubernetes (K8S)中Traefik路由(ingressRoute)

kubernetes 中使用 Traefik ingress 的 ingressRoute 代理 http、https、tcp、udp。

03

如何使用Prometheus配置自定义告警规则

Prometheus是一个用于监控和告警的开源系统。一开始由Soundcloud开发，后来在2016年，它迁移到CNCF并且称为Kubernetes之后最流行的项目之一。从整个Linux服务器到stand-alone web服务器、数据库服务或一个单独的进程，它都能监控。在Prometheus术语中，它所监控的事物称为目标（Target）。每个目标单元被称为指标（metric）。它以设置好的时间间隔通过http抓取目标，以收集指标并将数据放置在其时序数据库（Time Series Database）中。你可以使用PromQL查询语言查询相关target的指标。

01

Kubernetes Network Policy 101

Network policy（下文简称为np）的本质是通过Kubernetes（下文简称k8s）的网络插件，创建一系列的网络规则，实现细粒度控制出入口流量，从而解决应用访问隔离的问题。因此选用哪种k8s网络方案很重要，如果这个方案没有实现np，那么k8s就不具备应用访问隔离的能力了，具体可以参见官方文档。

02

Kubernetes集群网络揭秘，以GKE集群为例

毛艳清，富士康工业互联网科技服务事业群运维中心主管，现负责公有云和私有云的运维工作，聚焦在云计算和云原生领域，主要关注企业迁云的策略与业务价值、云计算解决方案、云计算实施与运维管理，以及云原生技术的布道和落地实践。

04

为你的 GitLab 项目使用 k3s 集群

k3s 是一个轻量级的 Kubernetes 发行版（小于 40 MB），它非常容易安装，仅需要 512 MB 的 RAM。对 IoT 设备、边缘计算以及运行 CI 任务来说均是一个完美的选择。这篇文章中我将创建一个 k3s 集群然后展示怎样将它集成到一个 GitLab 项目中。

01

Kubernetes服务网格（第8部分）：Linkerd作为入口控制器

Linkerd的设计目的是使service-to-service的内部通信在应用程序中安全、快速和可靠。然而，这些目标同样适用于edge。在这篇文章中，我们将展示Linkerd的一个新特性，允许它充当Kubernetes入口控制器，并展示它如何在使用和不使用TLS的情况下处理通信流。

06

Kubernetes服务网格（第8部分）：Linkerd作为入口控制器

Linkerd旨在使应用程序内部服务间的通信安全，快速和可靠。但是，这些目标同样适用于网络的接入层（应用程序对外的服务）。在这篇文章中，我们将展示Linkerd的一个新特性，Linkerd可以充当Kubernetes入口控制器，并展示Linkerd如何处理入站流量的能力。

08

介绍一个小工具：Inspektor Gadget

例行查看 krew index 的时候，发现有个新插件 gadgit，翻翻来历，居然是 Kinvolk 的作品，公司不太出名，印象里最早做服务网格 Benchmark 的就是他。插件功能介绍很简单：Collection of gadgets for Kubernetes developers，但是用法就很了不得了，非常有字数越小事越大的感觉：

03

转载NodePort，LoadBalancer还是Ingress？我该如何选择 - kubernetes

原文：http://mp.weixin.qq.com/s/dHaiX3H421jBhnzgCCsktg 当我们使用k8s集群部署好应用的Service时，默认的Service类型是ClusterIP，这种类型只有 Cluster 内的节点和 Pod 可以访问。如何将应用的Service暴露给Cluster外部访问呢，Kubernetes 提供了多种类型的 Service，如下： ClusterIP ---- ClusterIP服务是Kuberntets的默认服务。它在集群内部生成一个服务，供集群内的其他应用

04

外部访问 kubernetes，知道这 3 种模式就够了

最近，很多人问我 NodePorts，LoadBalancer和 Ingress 之间的区别是什么？它们是将外部流量引入集群的不同方式，而且它们的运行形式各不相同。接下来，请你跟我一起，来看看他们是如何工作的，以及它们各自的适用情况。

01

Running Solr on Kubernetes

我们将为搜索工程师介绍在Kubernetes（k8s）上运行Solr的基础知识。具体来说，我们涵盖以下主题：

00

Kubernetes 1.7 发布，安全强化、StatefulSet 更新及可扩展特性

Kubernetes 1.7已经发布，该版本聚焦于安全、存储和扩展性等交付特性，其中包括Network Policy API、StatefulSets自动升级策略以及可扩展的API聚合层。Kubernetes的上一个发布版1.6版侧重于解决规模化和自动化上的问题，显然最新的1.7发布版力图为Kubernetes在企业组织中的进一步采用夯实基础。需注意的是，虽然1.7版的核心集群编排功能是以稳定版提供，但是其中给出的一些头条发布特性在文档中被标为Alpha版或Beta版。

02

Kubernetes中使用mTLS保护微服务通信

微服务架构中，各服务间常有通信交互，以完成复杂业务流程，这给安全性和可扩展性带来挑战。启用双向 TLS(mTLS)可提高安全性，本文将详述 mTLS 的使用入门方法。

01

（译）kubectl 的奇技淫巧

Kubectl 是 Kubernetes 最重要的命令行工具。在 Flant，我们会在 Wiki 和 Slack 上相互分享 Kubectl 的妙用（其实我们还有个搜索引擎，不过那就是另外一回事了）。多年以来，我们在 kubectl 方面积累了很多技巧，现在想要将其中的部分分享给社区。

03

harbor高可用方案，基于kubernetes

首先需要创建一个 Kubernetes 集群。你可以使用各种 Kubernetes 集群管理工具，例如 kubeadm、kops 或者其他云服务提供商的 Kubernetes 服务（例如 GKE、EKS 或者 AKS）来创建集群。

05

Proxy-Go v6.6 发布新增智能模式

Proxy-Go v6.6 发布啦。Proxy 是 golang 实现的高性能 http,https,websocket,tcp,udp,socks5 代理服务器, 支持正向代理、反向代理、透明代理、内网穿透、TCP/UDP 端口映射、SSH 中转、TLS 加密传输、协议转换、DNS 防污染代理。

02

如何创建自签名证书

TLS/SSL是用于将正常流量包装在受保护的加密包装中的Web协议。得益于此技术，服务器可以在服务器和客户端之间安全地发送流量，而不会被外部各方拦截。证书系统还可以帮助用户验证他们正在连接的站点的身份。在本教程中，我们将向您展示如何在Ubuntu 18.04上设置用于Apache Web服务器的自签名SSL证书。

04

现有CDP-DC集群启用Auto-TLS

传输层安全性（TLS）在ClouderaManager服务器和代理之间的通信中提供加密和身份验证。加密可防止通信侦听，并且身份验证有助于防止恶意服务器或代理在群集中引起问题。Cloudera Manager支持三种级别的TLS安全性，三种必须逐级配置。

02

Linkerd 2.x 入门指南

在本指南中，我们将介绍如何将Linkerd安装到Kubernetes集群中。然后，我们将部署一个示例应用程序来展示Linkerd可以为你的服务做些什么。

01

【ES三周年】Elasticsearch安全防护秘籍：GPT助您打造铁壁防线

本文将通过三个层次的安全防护案例，指导您如何在GPT的智能指导下，提升Elasticsearch集群的安全性能。

04

附019.Rancher搭建及使用

Rancher 是为使用容器的公司打造的容器管理平台。Rancher 简化了使用 Kubernetes 的流程，方便开发者可以随处运行 Kubernetes（Run Kubernetes Everywhere），以便于满足 IT 需求规范，赋能 DevOps 团队。

01

traefik系列之一 | 简介、部署和配置

基于 centos7.9，docker-ce-20.10.18，kubelet-1.22.3-0， traefik-2.9.10

01

Dimple在左耳听风ARTS打卡（十五）

所谓ARTS：每周至少做一个LeetCode的算法题；阅读并点评至少一篇英文技术文章；学习至少一个技术技巧；分享一篇有观点和思考的技术文章。（也就是Algorithm、Review、Tip、Share 简称ARTS）这是第十五期打卡。

02

5分钟搞定在k8s上部署jenkins，并提供域名访问

https://github.com/jenkinsci/kubernetes-plugin

01

（译）Prometheus 和 Pod 标签

Prometheus 是为 Kubernetes 这样的动态环境而生的。它的服务发现能力和查询语言非常强大，Kubernetes 运维过程中，用户可以借 Prometheus 解决监控问题。

03

ASP.NET Core 3.0 gRPC 配置使用HTTP

gRPC是基于http/2，是同时支持https和http协议的，我们在gRPC实际使用中，在内网通讯场景下，更多的是走http协议，达到更高的效率，下面介绍如何在 .NET Core 3.0 中如何为gRPC配置http。

03

如何在Nginx上启用SSL和TLS 1.3

现在是时候从的'HTTP迁移到HTTPS了。由于最新的浏览器迭代，尤其适用于网站不安全的情况。当您将SSL与TLS的一两个结合（请参阅如何在Ubuntu Server 18.04上构建具有TLS支持的Nginx）时，您的站点将获得更高的安全性和性能。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭