【优创比拼】不改一行代码，让你的web应用支持https协议

云平台并非浪得虚名。
基于它，你的应用很可能像权贵的干儿子，虽出身平凡，但是可凭空获得一切。
比如，你的web应用本出身平凡，穷的连https都不支持，但是有了云平台的基础支持，你都不用改一行代码，就可以让它支持https协议，获得应用本身的安全加固。
如何做？
其实就是基于kubernetes本身的 Ingress + tsl 机制。
步骤如下：
生成私钥 tls.key, 密钥位数是 2048
# openssl genrsa -out tls.key 2048
使用 tls.key 生成自签证书
# openssl req -new -x509 -key tls.key -out tls.crt -subj /C=CN/ST=GuangDong/L=Guangzhou/O=DevOps/CN=myhttpbin.com
生成服务自签信息，名字为httpbin
# kubectl create secret tls httpbin --cert=tls.crt --key=tls.key
创建httpbin的 deloyment, service等，代码太多，此处忽略，创建了名字为httpbin的service。实际使用的时候这里应该部署的是你自己的服务。
apiVersion: v1
kind: Service
metadata:
  name: httpbin
  labels:
    app: httpbin
spec:
  ports:
  - name: http
    port: 8000
    targetPort: 80
  selector:
    app: httpbin
配置ingress并配置tls和自签信息(名字为httpbin)：
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: httpbin
  namespace: default
  annotations:
    kubernetes.io/ingress.class: "nginx"

spec:
  tls:
  - hosts:
    - myhttpbin.com
    secretName: httpbin
  rules:
  - host: myhttpbin.com
    http:
      paths:
      - backend:
          serviceName: httpbin
          servicePort: 8000
        path: /
关键代码如下，这里指定了tls,并通过secretName的方式关联了自签信息：
tls:
  - hosts:
    - myhttpbin.com
    secretName: httpbin
电脑主机添加/etc/hosts
172.21.92.223 myhttpbin.com
备注：172.21.92.223为Ingress controller的ip地址
访问http://myhttpbin.com，则会自动重定向为https://myhttpbin.com
抓包，发现已经是https通信了
一行代码没改(真的是没改代码)，但是如今你的服务（本例是httpbin）已经支持https的访问方式了。
整个过程的细节如下：
总结：
在 Ingress 中配置tls将会告诉 Ingress controller 使用 TLS 加密从客户端到后台服务（httpbin）的通道。当客户端（比如浏览器）通过http的方式访问httpbin的时候，ingress controller会通过返回308代码的方式让客户端重定向到https链接。
Secret的自签证书信息是设置在ingress controller上的，因为我们看到httpbin服务本身并不支持https的方式。
最终，这种方式实现了以非侵入的方式让你的服务支持https协议。

来源网络，侵删