不改一行代码，让你的web应用支持https协议 _https协议

云平台并非浪得虚名。
基于它，你的应用很可能像权贵的干儿子，虽出身平凡，但是可凭空获得一切。
比如，你的web应用本出身平凡，穷的连https都不支持，但是有了云平台的基础支持，你都不用改一行代码，就可以让它支持https协议，获得应用本身的安全加固。
如何做？
其实就是基于kubernetes本身的 Ingress + tsl 机制。
步骤如下：

生成私钥 tls.key, 密钥位数是 2048

# openssl genrsa -out tls.key 2048

使用 tls.key 生成自签证书

# openssl req -new -x509 -key tls.key -out tls.crt -subj /C=CN/ST=GuangDong/L=Guangzhou/O=DevOps/CN=myhttpbin.com

生成服务自签信息，名字为httpbin

# kubectl create secret tls httpbin --cert=tls.crt --key=tls.key

创建httpbin的 deloyment, service等，代码太多，此处忽略，创建了名字为httpbin的service 。实际使用的时候这里应该部署的是你自己的服务。

apiVersion: v1kind: Servicemetadata:name: httpbinlabels:App: httpbinspec:ports:- name: httpport: 8000targetPort: 80selector:app: httpbin

配置ingress并配置tls和自签信息(名字为httpbin)：

apiVersion: extensions/v1beta1kind: Ingressmetadata:name: httpbinnamespace: defaultannotations:kubernetes.io/ingress.class: "Nginx"spec:tls:- hosts:- myhttpbin.comsecretName: httpbinrules:- host: myhttpbin.comhttp:paths:- backend:serviceName: httpbinservicePort: 8000path: /

关键代码如下，这里指定了tls,并通过secretName的方式关联了自签信息：
tls:- hosts:- myhttpbin.comsecretName: httpbin

电脑主机添加/etc/hosts

172.21.92.223 myhttpbin.com备注：172.21.92.223为Ingress controller的ip地址

访问http://myhttpbin.com，则会自动重定向为https://myhttpbin.com
抓包，发现已经是https通信了

文章插图

一行代码没改(真的是没改代码)，但是如今你的服务（本例是httpbin）已经支持https的访问方式了。
整个过程的细节如下：

文章插图

总结：
在 Ingress 中配置tls将会告诉 Ingress controller 使用 TLS 加密从客户端到后台服务（httpbin）的通道。当客户端（比如浏览器）通过http的方式访问httpbin的时候，ingress controller会通过返回308代码的方式让客户端重定向到https链接。
Secret的自签证书信息是设置在ingress controller上的，因为我们看到httpbin服务本身并不支持https的方式。
最终，这种方式实现了以非侵入的方式让你的服务支持https协议。

【不改一行代码，让你的web应用支持https协议】