不改一行代码，让你的web应用支持https协议

云平台并非浪得虚名。

基于它，你的应用很可能像权贵的干儿子，虽出身平凡，但是可凭空获得一切。

比如，你的web应用本出身平凡，穷的连https都不支持，但是有了云平台的基础支持，你都不用改一行代码，就可以让它支持https协议，获得应用本身的安全加固。

如何做？

其实就是基于kubernetes本身的 Ingress + tsl 机制。

步骤如下：

1. 生成私钥 tls.key, 密钥位数是 2048

# openssl genrsa -out tls.key 2048

2. 使用 tls.key 生成自签证书

# openssl req -new -x509 -key tls.key -out tls.crt -subj /C=CN/ST=GuangDong/L=Guangzhou/O=DevOps/CN=myhttpbin.com

3. 生成服务自签信息，名字为httpbin

# kubectl create secret tls httpbin --cert=tls.crt --key=tls.key

4. 创建httpbin的 deloyment, service等，代码太多，此处忽略，创建了名字为httpbin的service。实际使用的时候这里应该部署的是你自己的服务。

apiVersion: v1
kind: Service
metadata:
  name: httpbin
  labels:
    App: httpbin
spec:
  ports:
  - name: http
    port: 8000
    targetPort: 80
  selector:
    app: httpbin

5. 配置ingress并配置tls和自签信息(名字为httpbin)：

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: httpbin
  namespace: default
  annotations:
    kubernetes.io/ingress.class: "Nginx"

spec:
  tls:
  - hosts:
    - myhttpbin.com
    secretName: httpbin
  rules:
  - host: myhttpbin.com
    http:
      paths:
      - backend:
          serviceName: httpbin
          servicePort: 8000
        path: /

关键代码如下，这里指定了tls,并通过secretName的方式关联了自签信息：

tls:
  - hosts:
    - myhttpbin.com
    secretName: httpbin

6. 电脑主机添加/etc/hosts

172.21.92.223 myhttpbin.com

备注：172.21.92.223为Ingress controller的ip地址

7. 访问http://myhttpbin.com，则会自动重定向为https://myhttpbin.com
8. 抓包，发现已经是https通信了

一行代码没改(真的是没改代码)，但是如今你的服务（本例是httpbin）已经支持https的访问方式了。

整个过程的细节如下：

总结：

在 Ingress 中配置tls将会告诉 Ingress controller 使用 TLS 加密从客户端到后台服务（httpbin）的通道。当客户端（比如浏览器）通过http的方式访问httpbin的时候，ingress controller会通过返回308代码的方式让客户端重定向到https链接。

Secret的自签证书信息是设置在ingress controller上的，因为我们看到httpbin服务本身并不支持https的方式。

最终，这种方式实现了以非侵入的方式让你的服务支持https协议。