文档首页/ 云容器引擎 CCE/ 用户指南/ 网络/ 服务(Service)/ 负载均衡(LoadBalancer)/ 为负载均衡类型的Service配置HTTP/HTTPS协议
更新时间:2024-09-02 GMT+08:00

为负载均衡类型的Service配置HTTP/HTTPS协议

约束与限制

  • Service使用HTTP/HTTPS协议仅v1.19.16及以上版本集群支持。
    表1 ELB支持HTTP/HTTPS协议的场景

    ELB类型

    使用场景

    是否支持HTTP/HTTPS协议

    说明

    共享型ELB

    对接已有ELB

    支持

    -

    自动创建ELB

    支持

    -

    独享型ELB

    对接已有ELB

    支持

    • v1.19.16-r50、v1.21.11-r10、v1.23.9-r10、v1.25.4-r10、v1.27.1-r10以下版本:需要同时支持4层和7层的flavor
    • v1.19.16-r50、v1.21.11-r10、v1.23.9-r10、v1.25.4-r10、v1.27.1-r10及以上版本:需要支持7层的flavor

    自动创建ELB

    支持

    • v1.19.16-r50、v1.21.11-r10、v1.23.9-r10、v1.25.4-r10、v1.27.1-r10以下版本:需要同时支持4层和7层的flavor
    • v1.19.16-r50、v1.21.11-r10、v1.23.9-r10、v1.25.4-r10、v1.27.1-r10及以上版本:需要支持7层的flavor
  • 请勿将Ingress与使用HTTP/HTTPS的Service对接同一个ELB下的同一个监听器,否则将产生端口冲突。

通过控制台创建

  1. 登录CCE控制台,单击集群名称进入集群。
  2. 在左侧导航栏中选择“服务”,在右上角单击“创建服务”
  3. 设置Service参数。本示例中仅列举使用HTTP/HTTPS协议必选参数,其余参数可根据需求参考创建LoadBalancer类型Service进行设置。

    • Service名称:自定义服务名称,可与工作负载名称保持一致。
    • 访问类型:选择“负载均衡”
    • 选择器:添加标签,Service根据标签选择Pod,填写后单击“确认添加”。也可以引用已有工作负载的标签,单击“引用负载标签”,在弹出的窗口中选择负载,然后单击“确定”
    • 负载均衡器:选择弹性负载均衡的类型、创建方式。
      • 类型:“独享型”“共享型”,其中独享型ELB需选择“应用型(HTTP/HTTPS)”“网络型(TCP/UDP)&应用型(HTTP/HTTPS)”,否则监听器端口将无法启用HTTP/HTTPS。
      • 创建方式:本文中以选择已有ELB为例进行说明,关于自动创建的配置参数请参见表1
    • 端口配置:
      • 协议:请选择TCP协议,选择UDP协议将无法使用HTTP/HTTPS。
      • 服务端口:Service使用的端口,端口范围为1-65535。
      • 容器端口:工作负载程序实际监听的端口,需用户确定。例如nginx默认使用80端口。
      • 监听器前端协议:设置监听器端口是否开启HTTP/HTTPS。当选择独享型负载均衡器类型时,需包含“应用型(HTTP/HTTPS)”方可支持配置HTTP/HTTPS。
    • 监听器配置:
      • SSL解析方式:当监听器端口启用HTTPS时可选择SSL解析方式。v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上版本的集群支持。
        • 单向认证:仅进行服务器端认证。如需认证客户端身份,请选择双向认证。
        • 双向认证:双向认证需要负载均衡实例与访问用户互相提供身份认证,从而允许通过认证的用户访问负载均衡实例,后端服务器无需额外配置双向认证。
      • CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端身份。CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,HTTPS连接才能成功。
      • 服务器证书:当监听器端口启用HTTPS时,必须选择一个服务器证书。如果当前无可选证书,需前往弹性负载均衡控制台进行创建,详情请参见创建证书
      • SNI:当监听器端口启用HTTPS时,可以选择是否添加SNI证书。如果需要添加SNI证书,证书中必须包含域名。如果当前无可选证书,需前往弹性负载均衡控制台进行创建,详情请参见创建证书
      • 安全策略:当监听器端口启用HTTPS时,支持选择可用的安全策略。v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上版本的集群支持。
      • 后端协议:当监听器端口启用HTTPS时,支持使用HTTP或HTTPS协议对接后端服务,默认为HTTP。v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上版本的集群支持。

      当发布多个HTTPS的服务,所有监听器会使用相同的证书配置。

    图1 配置HTTP/HTTPS协议

  4. 单击“确定”,创建Service。

通过kubectl命令行创建

Service使用HTTP/HTTPS协议时,需要注意以下配置要求:

  • 不同的ELB类型以及集群版本对flavor存在不同的要求,详情请参见表1
  • spec.ports中两个端口需要与kubernetes.io/elb.protocol-port中对应,本例中将443端口、80端口分别发布成HTTPS、HTTP协议。

以自动创建独享型ELB为例,配置示例如下,其中关键配置通过红色字体标出:

apiVersion: v1
kind: Service
metadata:
  annotations:
    # 在自动创建ELB参数中指定4层和7层的flavor
    kubernetes.io/elb.autocreate: '
      {
          "type": "public",
          "bandwidth_name": "cce-bandwidth-1634816602057",
          "bandwidth_chargemode": "bandwidth",
          "bandwidth_size": 5,
          "bandwidth_sharetype": "PER",
          "eip_type": "5_bgp",
          "available_zone": [
              ""
          ],
          "l7_flavor_name": "L7_flavor.elb.s2.small",
          "l4_flavor_name": "L4_flavor.elb.s1.medium"
      }'
    kubernetes.io/elb.class: performance  # 独享型ELB
    kubernetes.io/elb.protocol-port: "https:443,http:80"  # HTTP/HTTPS协议及端口号,需要与spec.ports中的端口号对应
    kubernetes.io/elb.cert-id: "17e3b4f4bc40471c86741dc3aa211379"  # ELB服务中的证书ID
  labels:
    app: nginx
    name: test
  name: test
  namespace: default
spec:
  ports:
  - name: cce-service-0
    port: 443
    protocol: TCP
    targetPort: 80
  - name: cce-service-1
    port: 80
    protocol: TCP
    targetPort: 80
  selector:
    app: nginx
    version: v1
  sessionAffinity: None
  type: LoadBalancer
表2 关键参数说明

参数

参数类型

描述

kubernetes.io/elb.protocol-port

String

Service使用TLS/HTTP/HTTPS时,需设置协议及端口号,格式为protocol:port。

其中,

  • protocol:为监听器端口对应的协议,取值为tls、http或https。
  • port:为Service的服务端口,即spec.ports[].port指定的端口。

例如,本示例中将443端口、80端口分别发布成HTTPS、HTTP协议,因此参数值为https:443,http:80

kubernetes.io/elb.cert-id

String

ELB服务中的证书ID,作为TLS/HTTPS服务器证书。

获取方法:在CCE控制台,单击顶部的“服务列表 > 网络 > 弹性负载均衡”,并选择“证书管理”。在列表中复制对应证书名称下的ID即可。