计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
弹性伸缩 AS
镜像服务 IMS
专属主机 DeH
函数工作流 FunctionGraph
云手机服务器 CPH
Huawei Cloud EulerOS
网络
虚拟私有云 VPC
弹性公网IP EIP
虚拟专用网络 VPN
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
VPC终端节点 VPCEP
云连接 CC
企业路由器 ER
企业交换机 ESW
全球加速 GA
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
边缘安全 EdgeSec
威胁检测服务 MTD
CDN与智能边缘
内容分发网络 CDN
CloudPond云服务
智能边缘云 IEC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
云搜索服务 CSS
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
数据可视化 DLV
数据湖工厂 DLF
湖仓构建 LakeFormation
企业应用
云桌面 Workspace
应用与数据集成平台 ROMA Connect
云解析服务 DNS
专属云
专属计算集群 DCC
IoT物联网
IoT物联网
设备接入 IoTDA
智能边缘平台 IEF
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
国际站常见问题
ICP备案
我的凭证
支持计划
客户运营能力
合作伙伴支持计划
专业服务
区块链
区块链服务 BCS
Web3节点引擎服务 NES
解决方案
SAP
高性能计算 HPC
视频
视频直播 Live
视频点播 VOD
媒体处理 MPC
实时音视频 SparkRTC
数字内容生产线 MetaStudio
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
存储容灾服务 SDRS
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属分布式存储服务 DSS
容器
云容器引擎 CCE
容器镜像服务 SWR
应用服务网格 ASM
华为云UCS
云容器实例 CCI
管理与监管
云监控服务 CES
统一身份认证服务 IAM
资源编排服务 RFS
云审计服务 CTS
标签管理服务 TMS
云日志服务 LTS
配置审计 Config
资源访问管理 RAM
消息通知服务 SMN
应用运维管理 AOM
应用性能管理 APM
组织 Organizations
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
应用身份管理服务 OneAccess
数据库
云数据库 RDS
文档数据库服务 DDS
数据管理服务 DAS
数据复制服务 DRS
云数据库 GeminiDB
云数据库 GaussDB
分布式数据库中间件 DDM
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
人脸识别服务 FRS
图引擎服务 GES
图像识别 Image
内容审核 Moderation
文字识别 OCR
AI开发平台ModelArts
图像搜索 ImageSearch
对话机器人服务 CBS
华为HiLens
视频智能分析服务 VIAS
语音交互服务 SIS
应用中间件
分布式缓存服务 DCS
API网关 APIG
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
多活高可用服务 MAS
事件网格 EG
企业协同
华为云会议 Meeting
云通信
消息&短信 MSGSMS
云生态
合作伙伴中心
云商店
开发者工具
SDK开发指南
API签名指南
Terraform
华为云命令行工具服务 KooCLI
其他
产品价格详情
系统权限
管理控制台
客户关联华为云合作伙伴须知
消息中心
公共问题
开发与运维
应用管理与运维平台 ServiceStage
软件开发生产线 CodeArts
需求管理 CodeArts Req
部署 CodeArts Deploy
性能测试 CodeArts PerfTest
编译构建 CodeArts Build
流水线 CodeArts Pipeline
制品仓库 CodeArts Artifact
测试计划 CodeArts TestPlan
代码检查 CodeArts Check
代码托管 CodeArts Repo
云应用引擎 CAE
开天aPaaS
云消息服务 KooMessage
云手机服务 KooPhone
云空间服务 KooDrive

为负载均衡类型的Service配置TLS

更新时间:2024-08-17 GMT+08:00

TLS协议适用于需要超高性能和大规模TLS卸载的场景。您可以为Service配置TLS协议,转发来自客户端加密的TCP协议请求。

说明:

Service配置TLS协议依赖ELB能力,使用该功能前请确认当前区域是否支持使用TLS协议。

前提条件

  • 已创建Kubernetes集群,且集群版本满足以下要求:
    • v1.23集群:v1.23.14-r0及以上版本
    • v1.25集群:v1.25.9-r0及以上版本
    • v1.27集群:v1.27.6-r0及以上版本
    • v1.28集群:v1.28.4-r0及以上版本
    • 其他更高版本的集群
  • 如果您需要通过命令行创建,需要使用kubectl连接到集群,详情请参见通过kubectl连接集群

约束与限制

使用TLS协议时,不支持同时配置会话保持。

通过控制台创建

  1. 登录CCE控制台,单击集群名称进入集群。
  2. 在左侧导航栏中选择“服务”,在右上角单击“创建服务”
  3. 设置Service参数。本示例中仅列举使用TLS的必选参数,其余参数可根据需求参考创建LoadBalancer类型Service进行设置。

    • Service名称:自定义服务名称,可与工作负载名称保持一致。
    • 访问类型:选择“负载均衡”
    • 选择器:添加标签,Service根据标签选择Pod,填写后单击“确认添加”。也可以引用已有工作负载的标签,单击“引用负载标签”,在弹出的窗口中选择负载,然后单击“确定”
    • 负载均衡器:选择弹性负载均衡的类型、创建方式。
      • 类型:本例中仅支持选择“独享型”,且需选择“网络型(TCP/UDP/TLS)”“网络型(TCP/UDP/TLS)&应用型(HTTP/HTTPS)”,否则监听器端口将无法启用TLS。
      • 创建方式:本文中以选择已有ELB为例进行说明,关于自动创建的配置参数请参见表1
    • 端口配置:
      • 协议:请选择TCP协议,选择UDP协议将无法使用TLS。
      • 服务端口:Service使用的端口,端口范围为1-65535。
      • 容器端口:工作负载程序实际监听的端口,需用户确定。例如nginx默认使用80端口。
      • 监听器前端协议:本例中Service需选择TLS协议。当选择独享型负载均衡器类型时,需包含“网络型(TCP/UDP/TLS)”方可支持配置TLS协议。
    • 监听器配置:
      • SSL解析方式:当监听器端口启用HTTPS/TLS时可选择SSL解析方式。v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上版本的集群支持。
        • 单向认证:仅进行服务器端认证。如需认证客户端身份,请选择双向认证。
        • 双向认证:双向认证需要负载均衡实例与访问用户互相提供身份认证,从而允许通过认证的用户访问负载均衡实例,后端服务器无需额外配置双向认证。
      • CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端身份。CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启双向认证功能时,只有当客户端能够出具指定CA签发的证书时,连接才能成功。
      • 服务器证书:选择一个服务器证书。如果当前无可选证书,需前往弹性负载均衡控制台进行创建,详情请参见创建证书
      • ProxyProtocol:支持通过ProxyProtocol协议携带客户端真实IP到后端服务器。
        说明:

        请确保后端服务器具有解析ProxyProtocol协议的能力,否则可能导致业务中断,请谨慎开启。

      • 安全策略:当监听器端口启用TLS时,支持选择可用的安全策略。v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上版本的集群支持。
      • 后端协议:当监听器端口启用TLS时,支持使用TCP或TLS协议对接后端服务,默认为TCP。v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上版本的集群支持。
    图1 配置TLS

  4. 单击“确定”,创建Service。

通过kubectl命令行创建

以关联已有ELB为例,Service使用TLS的YAML文件配置如下:
apiVersion: v1
kind: Service
metadata:
  name: test-tls
  labels:
    app: nginx
  namespace: default
  annotations:
    kubernetes.io/elb.class: performance                                        # ELB类型,TLS监听器仅支持performance,即独享型ELB
    kubernetes.io/elb.id: 35cb350b-23e6-4551-ac77-10d5298f5204                  # 已有ELB的ID
    kubernetes.io/elb.protocol-port: tls:443                                    # 需要开启TLS的端口
    kubernetes.io/elb.cert-id: 98e91cb03dea418582a438a212b461d5                 # TLS的服务器证书
    kubernetes.io/elb.tls-certificate-ids: e59934f5bc7044f58693de79f1cb4b6d     # TLS的SNI证书
    kubernetes.io/elb.client-ca-cert-id: 5b5178323a2f4eddbafed065945d9069       # TLS双向认证中客户端的CA证书
    kubernetes.io/elb.proxy-protocol-enable: 'true'                             # 是否开启ProxyProtocol协议,通过ProxyProtocol协议携带客户端真实IP到后端服务器。
    kubernetes.io/elb.security-pool-protocol: 'on'                              # 后端安全协议,开启后,后端协议为TLS,否则为TCP
    kubernetes.io/elb.security-policy-id: 175318e0-b6cb-44c5-80a2-0dc372f20df5  # 自定义安全策略ID,优先级高于系统预置的安全策略
    kubernetes.io/elb.tls-ciphers-policy: tls-1-2-fs                            # 系统预置的安全策略
spec:
  selector:
    app: nginx
  externalTrafficPolicy: Cluster
  ports:
    - name: cce-service-0
      targetPort: 80
      nodePort: 0
      port: 443
      protocol: TCP
  type: LoadBalancer
  loadBalancerIP: **.**.**.**
表1 关键参数说明

参数

参数类型

描述

kubernetes.io/elb.protocol-port

String

Service使用TLS/HTTP/HTTPS时,需设置协议及端口号,格式为protocol:port。

其中,

  • protocol:为监听器端口对应的协议,取值为tls、http或https。
  • port:为Service的服务端口,即spec.ports[].port指定的端口。

例如,本示例中创建TLS监听器,Service协议必须设置为tls,Service服务端口为443,因此参数值为tls:443

kubernetes.io/elb.cert-id

String

ELB服务中的证书ID,作为TLS/HTTPS服务器证书。

获取方法:在CCE控制台,单击顶部的“服务列表 > 网络 > 弹性负载均衡”,并选择“证书管理”。在列表中复制对应证书名称下的ID即可。

kubernetes.io/elb.tls-certificate-ids

String

ELB服务中的SNI证书ID列表(SNI证书中必须带有域名),不同ID间使用英文逗号隔开。更新时,通过指定空字符串""来移除SNI证书。

获取方法:在CCE控制台,单击顶部的“服务列表 > 网络 > 弹性负载均衡”,并选择“证书管理”。在列表中复制对应证书名称下的ID即可。

kubernetes.io/elb.client-ca-cert-id

String

ELB服务中的CA证书ID,CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启TLS/HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,TLS/HTTPS连接才能成功。更新时,通过指定空字符串""来移除CA证书。

获取方法:在CCE控制台,单击顶部的“服务列表 > 网络 > 弹性负载均衡”,并选择“证书管理”,并筛选证书类型为CA证书。在列表中复制对应证书名称下的ID即可。

kubernetes.io/elb.security-pool-protocol

String

监听器前端协议为TLS/HTTPS时,可以开启后端安全协议,开启后后端协议为TLS/HTTPS。不支持更新已有监听器的后端安全协议,更新后仅对新创建的监听器生效(通过更新协议或者端口会创建新的监听器)。

  • on/true:表示开启
  • off/false:表示关闭

kubernetes.io/elb.security-policy-id

String

自定义安全策略的ID,优先级高于系统预置的安全策略。更新时,通过指定空字符串""来移除。

获取方法:在CCE控制台,单击顶部的“服务列表 > 网络 > 弹性负载均衡 > TLS安全策略”,并选择“自定义策略”页签。在列表中复制对应策略名称下的ID即可。

kubernetes.io/elb.tls-ciphers-policy

String

系统预置的安全策略,默认为tls-1-0。

获取方法:在CCE控制台,单击顶部的“服务列表 > 网络 > 弹性负载均衡 > TLS安全策略”,并选择“默认策略”页签。在列表中复制对应策略名称即可。

kubernetes.io/elb.proxy-protocol-enable

String

开启ProxyProtocol协议,仅在前端协议为TLS时生效,通过ProxyProtocol协议携带客户端真实IP到后端服务器。

  • on/true:表示开启
  • off/false:表示关闭
说明:

请确保后端服务器具体解析ProxyProtocol协议的能力,否则可能导致业务中断,请谨慎开启。

我们使用cookie来确保您的高速浏览体验。继续浏览本站,即表示您同意我们使用cookie。 详情

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容