基于 Traefik 的激进 TLS 安全配置实践
前言
Traefik是一个现代的HTTP反向代理和负载均衡器,使部署微服务变得容易。
Traefik可以与现有的多种基础设施组件(Docker、Swarm模式、Kubernetes、Marathon、Consul、Etcd、Rancher、Amazon ECS...)集成,并自动和动态地配置自己。
今天我们基于 Traefik on K8S 来详细说明如何对 TLS 安全进行「激进」配置。
环境基本信息
- K8S 集群;
- 域名:
ewhisper.cn
(由 DNSPod 进行 DNS 管理,已指向 K8S 集群的 Traefik Ingress 的 LoadBalancer 公网地址) - 使用 cert-manager 自动管理的证书
*.ewhisper.cn
作为 Traefik 的默认证书;cert-manager 位于cert-manager
NameSpace 下 - Traefik 2.4.8 安装于 K8S 集群的
kube-system
NameSpace 下,且使用 CRDs 进行配置。
「激进」的 TLS 配置
全站受信证书 + HTTPS。具体如下:
- 全站 HTTPS 443 端口配置;
- 证书来自 Let's Encrypt(由 cert-manager 自动申请)(⚡激进,生产慎用!)
- 监听 HTTP 请求,并重定向到 HTTPS;(⚡激进,生产慎用!)
- 启用 HSTS 功能(⚡激进,生产慎用!)
- TLS 版本限定在 TLS 1.3(⚡激进,生产慎用!)
配置实践
TLS 版本限定在 TLS 1.3
使用 Traefik 的 CRD - TLSOption 配置如下:
apiVersion: traefik.containo.us/v1alpha1
kind: TLSOption
metadata:name: defaultnamespace: kube-systemspec:minVersion: VersionTLS13
基于 Traefik 的激进 TLS 安全配置实践相关推荐
- 基于 Traefik 的 Basic Auth 配置
前言 Traefik是一个现代的HTTP反向代理和负载均衡器,使部署微服务变得容易. Traefik可以与现有的多种基础设施组件(Docker.Swarm模式.Kubernetes.Marathon. ...
- 基于 Traefik 的 ForwardAuth 配置
前言 Traefik 是一个现代的 HTTP 反向代理和负载均衡器,使部署微服务变得容易. Traefik 可以与现有的多种基础设施组件(Docker.Swarm 模式.Kubernetes.Mara ...
- 入门学习Nginx代理服务器?就看这篇Nginx进阶学习最佳配置实践指南
前置基础知识学习 1.Nginx基础安装与配置详细 https://blog.weiyigeek.top/2019/9-1-121.html 2.Nginx进阶学习之最佳配置实践指南 https:// ...
- 基于Docker和Kubernetes的企业级DevOps实践训练营
基于Docker和Kubernetes的企业级DevOps实践训练营 课程准备 离线镜像包 百度:https://pan.baidu.com/s/1N1AYGCYftYGn6L0QPMWIMw 提取码 ...
- Nginx 核心模块与配置实践丨Nginx模版开发丨C++后端开发
Nginx 核心模块与配置实践 概要: Nginx 简介 Nginx 架构说明 Nginx 基础配置与使用 1. Nginx 简介与安装 知识点: Nginx 简介 Nginx 编译与安装 Nginx ...
- DockOne微信分享( 九十):猎豹移动基于CoreOS在AWS上的项目实践
本文讲的是DockOne微信分享( 九十):猎豹移动基于CoreOS在AWS上的项目实践[编者的话]本次分享介绍基于AWS的EC2服务如何设计和搭建适合自己业务的架构方案实现全球多region部署,介 ...
- 银联基于OpenStack的金融私有云建设实践
银联基于OpenStack的金融私有云建设实践 发表于2015-10-06 17:17| 1390次阅读| 来源CSDN| 1 条评论| 作者中国银联 祖立军 OpenStackSaaS银联金融 ...
- GIAC 2020 全球互联网架构大会演讲实录:基于TarsGo的微服务技术架构实践
2020年8月14日-15日,GIAC 2020 全球互联网架构大会于上周五正式在深圳开幕. GIAC(GLOBAL INTERNET ARCHITECTURE CONFERENCE)是长期关注互联网 ...
- 让业务感知不到服务器的存在——基于弹性计算的无服务器化实践
导读:2018年7月6 - 7日,一年一度的技术圈盛会ArchSummit全球架构师峰会在深圳华侨城洲际酒店举办.100余位国内外技术专家将齐聚深圳,分享各类技术架构最佳实践.来自腾讯技术工程事业群架 ...
最新文章
- 我的GitHub 欢迎光临
- rhel5.5配置yum
- Bootstrap CSS 编码规范之简写形式的属性声明
- Spring(二)、注解IOC
- 认认真真推荐10个牛逼公号!
- 「创作之秋」| 参赛成员- 获奖名单(参与奖)
- HDU 6287 口算训练 (质因数分解)
- C语言计算n阶行列式
- MySQL安装配置步骤
- JavaScript 手写函数柯里化 curry
- 关于Win11家庭版安装Ansys2021R1遇到的问题
- 机器学习分类问题标签如何做编码
- RASP | 远程Java应用的RASP调试教程
- Java实现MD5和国密SM3摘要算法
- Java线程的死锁和活锁
- 四、Python复习教程(重点)-爬虫框架
- 1M带宽能做些什么?
- (转)RMAN-06004: 恢复目录数据库发生 ORACLE 错误: RMAN-20005: target database name is ambiguous
- ANSYS Workbench 16 - 黄志新(图书阅读总结)
- jquery如何获取某个元素内的子元素的值
热门文章
- js给label赋值功能
- microbit和python_Microbit MicroPython 介绍
- go-micro教程 — 第二章 go-micro v3 使用Gin、Etcd
- 刷题日记 acwing 2058笨拙的手指 位运算的运用,迭代器的使用,秦九稍(别的进制转化为10进制)
- 2018.8.4T2(贪心,dp,线段树,优先队列)
- 移动通信调制技术的进展 转
- 实现交互式shell的几种方式:python pty 方式、升级nc、socat、script获取pty
- 第一次发文-汽车数字液晶仪表盘制作-嵌入式开发板-qt-linux-can总线-mcp2515模块-汽车obd
- 2019——区块链从业者的集体冬眠
- CSS基础(12)- 定位