乐趣区

关于运维:基于-Traefik-的激进-TLS-安全配置实践

前言

Traefik 是一个古代的 HTTP 反向代理和负载均衡器,使部署微服务变得容易。

Traefik 能够与现有的多种基础设施组件(Docker、Swarm 模式、Kubernetes、Marathon、Consul、Etcd、Rancher、Amazon ECS…)集成,并主动和动静地配置本人。

明天咱们基于 Traefik on K8S 来具体阐明如何对 TLS 平安进行「激进」配置。

环境根本信息

  1. K8S 集群;
  2. 域名:ewhisper.cn(由 DNSPod 进行 DNS 治理,已指向 K8S 集群的 Traefik Ingress 的 LoadBalancer 公网地址)
  3. 应用 cert-manager 主动治理的证书 *.ewhisper.cn 作为 Traefik 的默认证书;cert-manager 位于 cert-manager NameSpace 下
  4. Traefik 2.4.8 装置于 K8S 集群的 kube-system NameSpace 下,且应用 CRDs 进行配置。

「激进」的 TLS 配置

全站受信证书 + HTTPS。具体如下:

  1. 全站 HTTPS 443 端口配置;
  2. 证书来自 Let’s Encrypt(由 cert-manager 主动申请)(⚡激进,生产慎用!)
  3. 监听 HTTP 申请,并重定向到 HTTPS;(⚡激进,生产慎用!)
  4. 启用 HSTS 性能(⚡激进,生产慎用!)
  5. TLS 版本限定在 TLS 1.3(⚡激进,生产慎用!)

配置实际

TLS 版本限定在 TLS 1.3

应用 Traefik 的 CRD – TLSOption 配置如下:

apiVersion: traefik.containo.us/v1alpha1
kind: TLSOption
metadata:
  name: default
  namespace: kube-system

spec:
  minVersion: VersionTLS13

💡 阐明

  • minVersion: VersionTLS13 指定 TLS 最小版本为 TLS 1.3.

⚠️ Warning:

以防万一,倡议 namespace: kube-system 和 Traefik 所在的 ns 保持一致。

证书

应用 Traefik 的 CRD – TLSStore 配置如下:

apiVersion: traefik.containo.us/v1alpha1
kind: TLSStore
metadata:
  name: default
  namespace: cert-manager

spec:
  defaultCertificate:
    secretName: ewhisper-crt-secret

💡 阐明

  • secretName: ewhisper-crt-secret 这个是 cert-manager 主动从 Let’s Encrypt 申请到的证书的寄存地位(cert-manager 会负责定期自动更新该证书)。Traefik 就应用该证书作为默认证书。

⚠️ Warning:

TLSStore,留神 namespace: cert-manager 必须要在 证书的 secret 所在的 NameSpace。

接下来 2 个性能:

  1. HTTP 重定向到 HTTPS
  2. 启用 HSTS

都是通过 Traefik CRD – Middleware 来进行配置的。

HTTP 重定向到 HTTPS

Traefik CRD Middleware – redirectshttps 配置如下:

# Redirect to https
apiVersion: traefik.containo.us/v1alpha1
kind: Middleware
metadata:
  name: redirectshttps
  namespace: kube-system
spec:
  redirectScheme:
    scheme: https
    permanent: true

💡 阐明

  • redirectScheme: 协定重定向
  • scheme: https: HTTP 协定重定向为 HTTPS
  • permanent: true: 设置为 true 以利用永恒重定向。

启用 HSTS

Traefik CRD Middleware – hsts-header 配置如下:

apiVersion: traefik.containo.us/v1alpha1
kind: Middleware
metadata:
  name: hsts-header
  namespace: kube-system
spec:
  headers:
    customResponseHeaders:
      Strict-Transport-Security: 'max-age=63072000'
  • customResponseHeaders 利用于响应头的名称和值。
  • Strict-Transport-Security: 'max-age=63072000': 即「HTTP 严格传输平安」响应头,收到该响应头的浏览器会在 63072000s(约 2 年)的工夫内,只有拜访该网站,即便输出的是 http,浏览器会主动跳转到 https。(HSTS 是浏览器端的跳转,之前的「HTTP 重定向到 HTTPS」是服务器端的跳转)

具体域名配置

以上的所有配置,包含:

  1. TLS 版本限定在 TLS 1.3
  2. 证书
  3. HTTP 重定向到 HTTPS
  4. 启用 HSTS

都是全局的配置,接下来针对具体的域名 – 这里是 example.ewhisper.cn 进行配置。

应用 Traefik 的 CRD – IngressRoute 配置如下:

apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: example
  namespace: cert-manager
spec:
  entryPoints:
    - websecure
    - web
  routes:
    - match: Host(`example.ewhisper.cn`)
      kind: Rule
      middlewares:
        - name: hsts-header
          namespace: kube-system
        - name: redirectshttps
          namespace: kube-system
      services:
        - name: example
          namespace: default
          port: 8080
  tls: {}

💡 阐明

  • entryPoints: EntryPoints 是进入 Traefik 的网络入口点。它们定义将接管数据包的端口,以及是否侦听 TCP 或 UDP。如下图所示:

    这里 entryPoints 是动态配置,是间接动态配置在 Traefik Deployment 中的,如下图:

    • entryPointtraefik 地址端口是::9000/tcp
    • entryPointweb 地址端口是::8000/tcp
    • entryPointwebsecure 地址端口是::8443/tcp,且 tls 为 true
    • 而后,再通过 Serivce Type: LoadBalancer 裸露到公网的: 80 和 443 端口(至于entryPointtraefik 则还没有通过 SVC 裸露,所以即便配了 IngressRoute 也无法访问),如下:
  • websecure 即:example.ewhisper.cn 能够通过 https://example.ewhisper.cn:443 拜访;
  • web 即:example.ewhisper.cn 能够通过 http://example.ewhisper.cn:80 拜访;
  • kind: Rule Rule 是一组配置了值的匹配器(即 match),它决定一个特定的申请是否匹配特定的条件。如果规定通过验证,Route 就会成为流动的,调用中间件,而后将申请转发给服务。
  • match: Host(`example.ewhisper.cn`): 这里是查看申请域名 (host 报头值) 是否以给定域之一(即example.ewhisper.cn)为指标。
  • middlewares: 连贯到 Route 的中间件是在申请被发送到你的服务之前 (或者在服务的答复被发送到客户端之前) 对申请进行调整的一种办法。在 trafik 中有几种可用的中间件,一些能够批改申请、报头,一些负责重定向,一些增加身份验证,等等。应用雷同协定的中间件能够组合成链,以适应每个场景。中间件作用如下图所示:

  • name: hsts-header 启用 HSTS 的中间件(能够复用)
  • name: redirectshttps 启用 HTTP 重定向到 HTTPS 的中间件(能够复用)
  • services... 转发到 K8S default NameSpace 下的 example Service 的 8080 端口。

配置失效

假如以上配置都放在 ./traefik-sec 目录下,执行如下命令失效:

kubectl apply -f ./traefik-sec

验证

浏览器拜访

间接浏览器拜访 http://example.ewhisper.cn 域名,跳转到 http://example.ewhisper.cn, 并且证书已失效。

☝ HTTP 重定向到 HTTPS 已失效

通过 SSL Labs 验证

在 SSL Labs 的 SSL Server Test 下进行验证。验证后果如下:

☝ 评分为 A,且 HSTS 已启用

☝ 证书为 *.ewhisper.cn 非法证书

☝ TLS 协定只反对 TLS 1.3

🎉🎉🎉

参考资料

  • 应用 cert-manager 为 dnspod 的域名签发收费证书 | 作者 roc
  • Traefik 官网文档
  • Traefik2.3.x 应用大全(更新版) | 作者 阳明
  • Mozilla SSL Configuration Generator

三人行, 必有我师; 常识共享, 天下为公. 本文由东风微鸣技术博客 EWhisper.cn 编写.

退出移动版