前言

Traefik是一个现代的HTTP反向代理和负载均衡器,使部署微服务变得容易。

Traefik可以与现有的多种基础设施组件(Docker、Swarm模式、Kubernetes、Marathon、Consul、Etcd、Rancher、Amazon ECS...)集成,并自动和动态地配置自己。

今天我们基于 Traefik on K8S 来详细说明如何对 TLS 安全进行「激进」配置。

环境基本信息

  1. K8S 集群;
  2. 域名:ewhisper.cn(由 DNSPod 进行 DNS 管理,已指向 K8S 集群的 Traefik Ingress 的 LoadBalancer 公网地址)
  3. 使用 cert-manager 自动管理的证书 *.ewhisper.cn 作为 Traefik 的默认证书;cert-manager 位于 cert-manager NameSpace 下
  4. Traefik 2.4.8 安装于 K8S 集群的 kube-system NameSpace 下,且使用 CRDs 进行配置。

「激进」的 TLS 配置

全站受信证书 + HTTPS。具体如下:

  1. 全站 HTTPS 443 端口配置;
  2. 证书来自 Let's Encrypt(由 cert-manager 自动申请)(⚡激进,生产慎用!)
  3. 监听 HTTP 请求,并重定向到 HTTPS;(⚡激进,生产慎用!)
  4. 启用 HSTS 功能(⚡激进,生产慎用!)
  5. TLS 版本限定在 TLS 1.3(⚡激进,生产慎用!)

配置实践

TLS 版本限定在 TLS 1.3

使用 Traefik 的 CRD - TLSOption 配置如下:

apiVersion: traefik.containo.us/v1alpha1
kind: TLSOption
metadata:name: defaultnamespace: kube-systemspec:minVersion: VersionTLS13

基于 Traefik 的激进 TLS 安全配置实践相关推荐

  1. 基于 Traefik 的 Basic Auth 配置

    前言 Traefik是一个现代的HTTP反向代理和负载均衡器,使部署微服务变得容易. Traefik可以与现有的多种基础设施组件(Docker.Swarm模式.Kubernetes.Marathon. ...

  2. 基于 Traefik 的 ForwardAuth 配置

    前言 Traefik 是一个现代的 HTTP 反向代理和负载均衡器,使部署微服务变得容易. Traefik 可以与现有的多种基础设施组件(Docker.Swarm 模式.Kubernetes.Mara ...

  3. 入门学习Nginx代理服务器?就看这篇Nginx进阶学习最佳配置实践指南

    前置基础知识学习 1.Nginx基础安装与配置详细 https://blog.weiyigeek.top/2019/9-1-121.html 2.Nginx进阶学习之最佳配置实践指南 https:// ...

  4. 基于Docker和Kubernetes的企业级DevOps实践训练营

    基于Docker和Kubernetes的企业级DevOps实践训练营 课程准备 离线镜像包 百度:https://pan.baidu.com/s/1N1AYGCYftYGn6L0QPMWIMw 提取码 ...

  5. Nginx 核心模块与配置实践丨Nginx模版开发丨C++后端开发

    Nginx 核心模块与配置实践 概要: Nginx 简介 Nginx 架构说明 Nginx 基础配置与使用 1. Nginx 简介与安装 知识点: Nginx 简介 Nginx 编译与安装 Nginx ...

  6. DockOne微信分享( 九十):猎豹移动基于CoreOS在AWS上的项目实践

    本文讲的是DockOne微信分享( 九十):猎豹移动基于CoreOS在AWS上的项目实践[编者的话]本次分享介绍基于AWS的EC2服务如何设计和搭建适合自己业务的架构方案实现全球多region部署,介 ...

  7. 银联基于OpenStack的金融私有云建设实践

     银联基于OpenStack的金融私有云建设实践 发表于2015-10-06 17:17| 1390次阅读| 来源CSDN| 1 条评论| 作者中国银联 祖立军 OpenStackSaaS银联金融 ...

  8. GIAC 2020 全球互联网架构大会演讲实录:基于TarsGo的微服务技术架构实践

    2020年8月14日-15日,GIAC 2020 全球互联网架构大会于上周五正式在深圳开幕. GIAC(GLOBAL INTERNET ARCHITECTURE CONFERENCE)是长期关注互联网 ...

  9. 让业务感知不到服务器的存在——基于弹性计算的无服务器化实践

    导读:2018年7月6 - 7日,一年一度的技术圈盛会ArchSummit全球架构师峰会在深圳华侨城洲际酒店举办.100余位国内外技术专家将齐聚深圳,分享各类技术架构最佳实践.来自腾讯技术工程事业群架 ...

最新文章

  1. 我的GitHub 欢迎光临
  2. rhel5.5配置yum
  3. Bootstrap CSS 编码规范之简写形式的属性声明
  4. Spring(二)、注解IOC
  5. 认认真真推荐10个牛逼公号!
  6. 「创作之秋」| 参赛成员- 获奖名单(参与奖)
  7. HDU 6287 口算训练 (质因数分解)
  8. C语言计算n阶行列式
  9. MySQL安装配置步骤
  10. JavaScript 手写函数柯里化 curry
  11. 关于Win11家庭版安装Ansys2021R1遇到的问题
  12. 机器学习分类问题标签如何做编码
  13. RASP | 远程Java应用的RASP调试教程
  14. Java实现MD5和国密SM3摘要算法
  15. Java线程的死锁和活锁
  16. 四、Python复习教程(重点)-爬虫框架
  17. 1M带宽能做些什么?
  18. (转)RMAN-06004: 恢复目录数据库发生 ORACLE 错误: RMAN-20005: target database name is ambiguous
  19. ANSYS Workbench 16 - 黄志新(图书阅读总结)
  20. jquery如何获取某个元素内的子元素的值

热门文章

  1. js给label赋值功能
  2. microbit和python_Microbit MicroPython 介绍
  3. go-micro教程 — 第二章 go-micro v3 使用Gin、Etcd
  4. 刷题日记 acwing 2058笨拙的手指 位运算的运用,迭代器的使用,秦九稍(别的进制转化为10进制)
  5. 2018.8.4T2(贪心,dp,线段树,优先队列)
  6. 移动通信调制技术的进展 转
  7. 实现交互式shell的几种方式:python pty 方式、升级nc、socat、script获取pty
  8. 第一次发文-汽车数字液晶仪表盘制作-嵌入式开发板-qt-linux-can总线-mcp2515模块-汽车obd
  9. 2019——区块链从业者的集体冬眠
  10. CSS基础(12)- 定位