基于 Traefik 的激进 TLS 安全配置实践 - 东风微鸣
source link: https://www.cnblogs.com/east4ming/p/17002464.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
Traefik是一个现代的HTTP反向代理和负载均衡器,使部署微服务变得容易。
Traefik可以与现有的多种基础设施组件(Docker、Swarm模式、Kubernetes、Marathon、Consul、Etcd、Rancher、Amazon ECS...)集成,并自动和动态地配置自己。
今天我们基于 Traefik on K8S 来详细说明如何对 TLS 安全进行「激进」配置。
环境基本信息
- K8S 集群;
- 域名:
ewhisper.cn
(由 DNSPod 进行 DNS 管理,已指向 K8S 集群的 Traefik Ingress 的 LoadBalancer 公网地址) - 使用 cert-manager 自动管理的证书
*.ewhisper.cn
作为 Traefik 的默认证书;cert-manager 位于cert-manager
NameSpace 下 - Traefik 2.4.8 安装于 K8S 集群的
kube-system
NameSpace 下,且使用 CRDs 进行配置。
「激进」的 TLS 配置
全站受信证书 + HTTPS。具体如下:
- 全站 HTTPS 443 端口配置;
- 证书来自 Let's Encrypt(由 cert-manager 自动申请)(⚡激进,生产慎用!)
- 监听 HTTP 请求,并重定向到 HTTPS;(⚡激进,生产慎用!)
- 启用 HSTS 功能(⚡激进,生产慎用!)
- TLS 版本限定在 TLS 1.3(⚡激进,生产慎用!)
TLS 版本限定在 TLS 1.3
使用 Traefik 的 CRD - TLSOption 配置如下:
apiVersion: traefik.containo.us/v1alpha1
kind: TLSOption
metadata:
name: default
namespace: kube-system
spec:
minVersion: VersionTLS13
💡 说明:
minVersion: VersionTLS13
指定 TLS 最小版本为 TLS 1.3.
⚠️ Warning:
以防万一,建议
namespace: kube-system
和 Traefik 所在的 ns 保持一致。
使用 Traefik 的 CRD - TLSStore 配置如下:
apiVersion: traefik.containo.us/v1alpha1
kind: TLSStore
metadata:
name: default
namespace: cert-manager
spec:
defaultCertificate:
secretName: ewhisper-crt-secret
💡 说明:
secretName: ewhisper-crt-secret
这个是 cert-manager 自动从 Let's Encrypt 申请到的证书的存放位置(cert-manager 会负责定期自动更新该证书)。Traefik 就使用该证书作为默认证书。
⚠️ Warning:
TLSStore,注意
namespace: cert-manager
必须要在 证书的 secret 所在的 NameSpace。
接下来 2 个功能:
- HTTP 重定向到 HTTPS
- 启用 HSTS
都是通过 Traefik CRD - Middleware 来进行配置的。
HTTP 重定向到 HTTPS
Traefik CRD Middleware - redirectshttps
配置如下:
# Redirect to https
apiVersion: traefik.containo.us/v1alpha1
kind: Middleware
metadata:
name: redirectshttps
namespace: kube-system
spec:
redirectScheme:
scheme: https
permanent: true
💡 说明:
redirectScheme
: 协议重定向scheme: https
: HTTP 协议重定向为 HTTPSpermanent: true
: 设置为 true 以应用永久重定向。
启用 HSTS
Traefik CRD Middleware - hsts-header
配置如下:
apiVersion: traefik.containo.us/v1alpha1
kind: Middleware
metadata:
name: hsts-header
namespace: kube-system
spec:
headers:
customResponseHeaders:
Strict-Transport-Security: 'max-age=63072000'
customResponseHeaders
应用于响应头的名称和值。Strict-Transport-Security: 'max-age=63072000'
: 即 「HTTP严格传输安全」响应头,收到该响应头的浏览器会在 63072000s(约 2 年)的时间内,只要访问该网站,即使输入的是 http,浏览器会自动跳转到 https。(HSTS 是浏览器端的跳转,之前的「HTTP 重定向到 HTTPS」是服务器端的跳转)
具体域名配置
以上的所有配置,包括:
- TLS 版本限定在 TLS 1.3
- HTTP 重定向到 HTTPS
- 启用 HSTS
都是全局的配置,接下来针对具体的域名 - 这里是 example.ewhisper.cn
进行配置。
使用 Traefik 的 CRD - IngressRoute 配置如下:
apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
name: example
namespace: cert-manager
spec:
entryPoints:
- websecure
- web
routes:
- match: Host(`example.ewhisper.cn`)
kind: Rule
middlewares:
- name: hsts-header
namespace: kube-system
- name: redirectshttps
namespace: kube-system
services:
- name: example
namespace: default
port: 8080
tls: {}
💡 说明:
-
这里 entryPoints 是静态配置,是直接静态配置在 Traefik Deployment 中的,如下图:entryPoints
: EntryPoints 是进入 Traefik 的网络入口点。它们定义将接收数据包的端口,以及是否侦听 TCP 或 UDP。如下图所示:entryPoint
-traefik
地址端口是::9000/tcp
entryPoint
-web
地址端口是::8000/tcp
entryPoint
-websecure
地址端口是::8443/tcp
,且 tls 为 true- 然后,再通过 Serivce Type:
LoadBalancer
暴露到公网的: 80 和 443 端口(至于entryPoint
-traefik
则还没有通过 SVC 暴露,所以即使配了 IngressRoute 也无法访问),如下:
-
websecure
即:example.ewhisper.cn
可以通过https://example.ewhisper.cn:443
访问; -
web
即:example.ewhisper.cn
可以通过http://example.ewhisper.cn:80
访问; -
kind: Rule
Rule 是一组配置了值的匹配器(即match
),它决定一个特定的请求是否匹配特定的条件。如果规则经过验证,Route 就会成为活动的,调用中间件,然后将请求转发给服务。 -
match: Host(`example.ewhisper.cn`)
: 这里是检查请求域名(host 报头值)是否以给定域之一(即example.ewhisper.cn
)为目标。 -
middlewares
: 连接到 Route 的中间件是在请求被发送到你的服务之前(或者在服务的回答被发送到客户端之前)对请求进行调整的一种方法。 在trafik中有几种可用的中间件,一些可以修改请求、报头,一些负责重定向,一些添加身份验证,等等。 使用相同协议的中间件可以组合成链,以适应每个场景。中间件作用如下图所示: -
name: hsts-header
启用 HSTS 的中间件(可以复用) -
name: redirectshttps
启用 HTTP 重定向到 HTTPS 的中间件(可以复用) -
services...
转发到 K8Sdefault
NameSpace 下的example
Service 的 8080 端口。
假设以上配置都放在 ./traefik-sec
目录下,执行如下命令生效:
kubectl apply -f ./traefik-sec
浏览器访问
直接浏览器访问 http://example.ewhisper.cn
域名,跳转到 http://example.ewhisper.cn
, 并且证书已生效。
☝ HTTP 重定向到 HTTPS 已生效
通过 SSL Labs 验证
在 SSL Labs 的 SSL Server Test 下进行验证。验证结果如下:
☝ 评分为 A,且 HSTS 已启用
☝ 证书为 *.ewhisper.cn
合法证书
☝ TLS 协议只支持 TLS 1.3
🎉🎉🎉
三人行, 必有我师; 知识共享, 天下为公. 本文由东风微鸣技术博客 EWhisper.cn 编写.
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK