最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
如何基于 Kubernetes Ingress 控制器底层 Nginx 机制配置全局统一下发的 TLS 安全策略
时间:2026-06-23 09:14:04 编辑:袖梨 来源:一聚教程网
Kubernetes Ingress控制器可通过ConfigMap统一配置TLS策略:启用ssl-redirect、force-ssl-redirect实现HTTP强制跳转HTTPS;设置ssl-protocols、ssl-ciphers锁定协议与密码套件;配置hsts开启严格传输安全;通过default-ssl-certificate指定默认证书Secret,避免Ingress中重复配置。
要让 Kubernetes Ingress 控制器(以 ingress-nginx 为例)实现全局统一下发的 TLS 安全策略,关键不是在每个 Ingress 资源里重复配置证书或重定向,而是通过控制器自身的 ConfigMap 和默认 SSL 设置,把 TLS 行为“下沉”到 Nginx 层统一管控。这样既能避免配置碎片化,又能确保所有 HTTPS 流量遵循一致的加密强度、协议版本和重定向逻辑。
修改 ingress-nginx 的全局 ConfigMap 启用强制 HTTPS 和 TLS 策略
ingress-nginx 控制器启动时会读取名为 nginx-configuration(通常位于 kube-system 命名空间)的 ConfigMap,其中的键值对直接映射为 Nginx 配置指令。你需要更新它来开启并固化 TLS 行为:
-
启用全局 HTTPS 重定向:设置
ssl-redirect: "true"和force-ssl-redirect: "true",让所有匹配该 Ingress Controller 的 HTTP 请求自动 308 跳转到 HTTPS -
锁定 TLS 协议与密码套件:添加
ssl-protocols: "TLSv1.2 TLSv1.3"和ssl-ciphers: "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256...(推荐现代强密码)",禁用 TLS 1.0/1.1 -
启用 HSTS(HTTP Strict Transport Security):加入
hsts: "true"和hsts-max-age: "31536000",强制浏览器后续访问只走 HTTPS
更新后执行 kubectl rollout restart deploy -n kube-system ingress-nginx-controller 使配置生效。
为所有 Ingress 统一指定默认 TLS Secret(免逐个配置)
如果你有多个域名共用同一张通配符证书或组织级证书,可以跳过在每个 Ingress 中写 tls[].secretName,改用控制器的 default SSL certificate 机制:
- 先将证书和私钥创建为 Secret,例如:
kubectl create secret tls default-tls-secret --cert=tls.crt --key=tls.key -n kube-system - 在 ConfigMap 中添加字段:
ssl-default-backend: "default-tls-secret"(注意:实际字段名是default-ssl-certificate,值格式为<namespace>/<secret-name>,如kube-system/default-tls-secret) - 这样,任何未显式声明
tls块的 Ingress,只要其 host 匹配该证书的 SAN 或 CN,就会自动启用该证书提供 HTTPS 服务
集中管理多域名证书并按需分发
当业务涉及多个子域(如 api.example.com、app.example.com),又不想为每个都建独立 Secret,可采用以下方式提升可维护性:
- 将多域名证书(含完整 SAN 列表)统一存入一个命名空间(如
certs)下的 Secret,例如multi-domain-tls - 在各业务命名空间的 Ingress 中,通过跨命名空间引用方式使用:
tls[0].secretName: multi-domain-tls+tls[0].namespace: certs(需确认你的 ingress-nginx 版本 ≥ v1.3.0 支持此语法) - 配合 Cert-Manager 的
ClusterIssuer自动签发,并将生成的 Secret 同步至certs命名空间,实现证书生命周期全自动
验证与观测 TLS 策略是否真正生效
配置完成后不能仅依赖 Ingress 状态,需从 Nginx 实例内部验证实际加载的配置:
- 进入任一 ingress-nginx Pod:
kubectl exec -it -n kube-system deploy/ingress-nginx-controller -- cat /etc/nginx/nginx.conf | grep -A5 -B5 ssl_,确认ssl_protocols、ssl_ciphers、return 308等指令已写入 - 用
openssl s_client -connect example.com:443 -tls1_1测试是否被拒绝,再用-tls1_2验证是否成功握手 - 访问 HTTP 地址,检查响应头是否含
Strict-Transport-Security,且返回状态码为308 Permanent Redirect
不复杂但容易忽略的是:ConfigMap 修改后必须重启控制器 Pod;跨命名空间引用 Secret 需对应 Ingress Controller 版本支持;而默认证书仅对未定义 tls 块的 Ingress 生效——若已有 Ingress 显式写了 secretName,它仍会优先使用自己的配置。
相关文章
- 明日方舟:终末地开荒流程攻略 新手怎么开荒详细攻略 07-01
- 重返未来1999焦点闪回怎么打详情 07-01
- 洛克王国世界星光对决恩佐打法详情 07-01
- 如何用Java实现邮件发送 07-01
- 光遇5月红石日历2026一览 07-01
- 重返未来1999主线16关迷宫走法详情 07-01