云原生安全实战:如何在 K8s 集群中为 Ingress 开启 HTTPS 绿锁?
🔒 云原生安全实战:如何在 K8s 集群中为 Ingress 开启 HTTPS 绿锁?
在生产环境(Prod)的架构设计中,安全永远是“第一优先级”。对于涉及敏感数据的微服务平台,全站 HTTPS 加密是不可逾越的合规底线。
在传统的虚拟机时代,我们习惯于登录服务器,在 Nginx 的配置文件里手动指定证书路径。但在 Kubernetes(ACK)的云原生时代,这一切都被高度抽象化了。今天,我们通过实战复盘,手把手教你如何优雅地在 K8s 中配置 HTTPS 证书。
📌 概念扫盲:SSL 证书还是 TLS 证书?
在配置之前,很多开发者会产生疑惑:我去云厂商买的叫“SSL 证书”,为什么 Kubernetes 控制台里却叫“TLS 字典”?我是不是买错了?
架构师解答:它们在业务逻辑上是同一种东西!
- SSL (Secure Sockets Layer):诞生于上世纪 90 年代,由于存在诸多安全漏洞,目前其早期版本已被全球互联网彻底废弃。
- TLS (Transport Layer Security):是 SSL 的“合法继承人”和现代升级版(目前主流为 TLS 1.2 / 1.3,安全性极高)。
- 称呼差异:商业上为了照顾大众习惯,云厂商的产品线仍沿用“SSL 证书”的叫法;而 K8s 的底层架构师极度严谨,在代码与 API 设计中,坚持使用了准确的技术术语TLS。
所以,大胆下载你的 SSL 证书,它就是 K8s 需要的 TLS 护盾!
🛠️ 实战 SOP:证书进场的“三步曲”
在 K8s 中开启 HTTPS,本质上就是把证书变成集群认识的“保密字典(Secret)”,然后挂载到接管流量的大门(Ingress)上。
第一步:精准下载 Nginx 格式证书
面对 CA 机构提供的多种服务器格式(Tomcat/Apache/IIS 等),必须选择 Nginx 格式。
因为在主流的 K8s 集群中,负责接管公网流量的 Ingress Controller 底层核心正是 Nginx。下载解压后,你将得到两个关键文件:
.pem或.crt(公钥证书文件).key(私钥密文文件)
第二步:在 K8s 中锻造“TLS 保密字典”
证书千万不能直接明文扔进应用代码里,必须通过 K8s 的 Secret 机制进行集中安全管理。
- 进入集群控制台的【配置管理】 -> 【保密字典 (Secret)】。
- 点击创建,类型必须且只能选择【TLS 证书】(切勿选择默认的 Opaque)。
- 命名规范:建议采用
[业务域名主体]-tls的格式,例如api-domain-tls。 - 将
.pem的全部内容粘贴至【证书】框,.key的全部内容粘贴至【密钥】框。注意:包含-----BEGIN...的首尾声明必须完整保留,不能多空格或少破折号。
✅ 验收标准:创建完成后,列表页中会出现一条类型为
IngressTLS的记录。这代表 K8s 已经成功消化了这套加密算法,证书已安全入库。
第三步:挂载绿锁(Ingress 路由配置)
字典建好后,它只是静静地躺在 K8s 的保险柜里。我们需要在应用的 Ingress(路由规则)中引用它,让大门真正防弹。
YAML 核心配置片段如下:
apiVersion:networking.k8s.io/v1kind:Ingressmetadata:name:api-gateway-ingressnamespace:defaultspec:# 🔐 关键配置:开启 TLS 并引用保密字典tls:-hosts:-api.your-domain.com# 你的真实公网域名secretName:api-domain-tls# 👈 刚刚创建的 TLS 保密字典名称rules:-host:api.your-domain.comhttp:paths:-path:/pathType:Prefixbackend:service:name:gateway-service# 后端网关服务的名称port:number:8000📝 总结:安全,是架构的最高信仰
将明文的 HTTP 升级为加密的 HTTPS,不仅是为了防止流量被中间人劫持(防篡改),更是为了保护用户的隐私凭证(防窃听)。
通过“下载 Nginx 证书 -> 创建 IngressTLS 字典 -> Ingress 挂载声明”的标准化流程,我们将复杂的密码学工程,转化为了几次优雅的点击与声明式的 YAML 配置。
当你在浏览器地址栏看到那把象征安全的“小绿锁” 🔒 时,你的云原生生产底座,才算真正经得起公网的狂风暴雨!
#Kubernetes #HTTPS #TLS #SSL #Ingress #CloudSecurity #DevOps实战