为什么Kubernetes需要SSL证书？

想象一下你家的信箱，如果不上锁（HTTP），任何人都可以随意翻看你的信件内容。而上了锁（HTTPS）后，只有持有钥匙的人才能查看。在Kubernetes集群中部署SSL证书，就是给所有进出集群的"信件"加上一把安全锁。

作为网络安全老兵，我见过太多因为忽略证书配置导致的严重事故：

- 某电商平台因未启用HTTPS导致用户支付信息被中间人窃取

- 某金融APP因证书过期造成服务中断8小时

- 某***系统使用自签名证书被浏览器标记为"不安全"

准备工作：获取阿里云SSL证书

在阿里云控制台申请SSL证书就像网购一样简单：

1. 登录阿里云 → 数字证书管理服务

2. 选择"购买证书"（有免费DV SSL可选）

3. 填写域名信息（如`*.yourdomain.com`）

4. 完成域名验证（DNS解析或文件验证）

小技巧：如果是测试环境，可以使用阿里云提供的免费1年期DV证书；生产环境建议购买OV或EV型证书。

Kubernetes安装证书实战步骤

方法一：ConfigMap方式（适合单域名）

```yaml

1.将证书文件转为base64编码

cat yourdomain.com.key | base64 -w0

cat yourdomain.com.pem | base64 -w0

2.创建tls-configmap.yaml

apiVersion: v1

kind: ConfigMap

metadata:

name: tls-config

data:

tls.crt: <粘贴PEM文件的base64编码>

tls.key: <粘贴KEY文件的base64编码>

3.应用配置

kubectl apply -f tls-configmap.yaml

4.Ingress中引用(以Nginx Ingress为例)

apiVersion: networking.k8s.io/v1

kind: Ingress

name: secure-ingress

spec:

tls:

- hosts:

- yourdomain.com

secretName: tls-secret

```

方法二：Secret方式（推荐生产环境）

```bash

1.创建Kubernetes TLS Secret(更安全)

kubectl create secret tls aliyun-tls \

--cert=yourdomain.com.pem \

--key=yourdomain.com.key \

--namespace=default

Ingress配置示例：

rules:

- host: yourdomain.com

http:

paths:

- pathType: Prefix

path: "/"

backend:

service:

name: web-service

port:

number: 80

tls:

- hosts:

- yourdomain.com

secretName: aliyun-tls

引用刚创建的Secret名称

SSL/TLS最佳实践指南

1. 版本选择：禁用TLS1.0/1.1，推荐TLS1.2+

```nginx.conf

ssl_protocols TLSv1.2 TLSv1.3;

```

2. 加密套件优化：

```nginx.conf

ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';

3. 自动续期方案：

- Cert-manager + Let's Encrypt自动续期组合拳：

```yaml

apiVersion: cert-manager.io/v1

kind: Certificate

metadata:

name: auto-cert

spec:

secretName: auto-tls-secret

dnsNames:

- "*.yourdomain.com"

issuerRef:

name: letsencrypt-prod

kind: ClusterIssuer

```

4. 监控告警设置：

```promql

Prometheus监控规则示例

alert:CertExpiringSoon {

expr:(probe_ssl_earliest_cert_expiry-time())/(60*60*24) <30

for :10m

labels:{severity="critical"}

annotations:{summary="Certificate expiring soon (instance {{ $labels.instance }})"} }

HTTPS性能优化技巧

很多开发者担心HTTPS影响性能，其实通过合理优化可以做到加密传输几乎零开销：

- 开启OCSP Stapling：减少客户端验证时间约300ms

- Session Ticket复用：降低TLS握手开销40%+

- HTTP/2支持：多路复用提升并发性能

Nginx配置示例：

```nginx.conf

ssl_session_cache shared:MozCache:50m;

ssl_session_timeout12h;

ssl_staplingon;

ssl_stapling_verifyon;

resolver8.8.8.88 valid=300s; resolver_timeout5s;

HTTPS常见故障排查指南

遇到问题别慌张，按这个checklist逐步排查：

??【问题现象】浏览器显示"不安全连接"

?检查项：

- kubectl get secret检查Secret是否存在且类型为kubernetes.io/tls

- describe secret确认cert/key数据完整

??【问题现象】NET::ERR_CERT_DATE_INVALID

- openssl x509-in cert.pem-noout-dates查看有效期

- TZ=UTC date确认节点时间准确

??【问题现象】502 Bad Gateway错误

- kubectl logs 查看Ingress控制器日志

- curl-v https://yourdomain.com分析握手过程

Kubernetes多集群证书管理方案

当你有多个集群时，推荐这些企业级解决方案：

??? HashiCorp Vault PKI：

```bash vault write pki/issue/k8s-cluster common_name="cluster01.yourcompany.com"ttl="8760h"```

??? Cert-manager多集群同步：

```yaml

使用ExternalDNS和ExternalSecrets跨集群同步 ```

??? 阿里云CAS集中管理：通过RAM策略统一分发到各集群

通过以上步骤和最佳实践，你的Kubernetes服务将获得银行级的安全防护。记住在网络安全领域，"不安全的系统不是没被攻破的系统，而是可以被攻破的系统"。定期更新你的SSL/TLS策略，保持防御始终领先攻击一步！

TAG:k8s安装阿里云ssl证书,阿里云 slb k8s,阿里k8s部署docker,阿里云k8s ingress,k8s ssl证书