目录一. Cert Manager的局限性1.HTTP验证问题2.DNS验证问题3.缺乏额外防护二. Cloudflare免费模式下的优势1.免费的CDN与DNS2.免费的SSL证书3.免费的WAF与流量限制三. 解决方案概览1.域名代理2.HTTPS加密3.流量控制四.配置示例1.配置DNS和网络安全组2.创建Cloudflare源证书3.配置Ingress使用新的secret4.配置Cloudflare的SSL/TLS加密模式5.启用HTTP重定向HTTPS6.配置访问速率限制五.验证一. Cert Manager的局限性我们在开源域名证书工具 - cert-manager中演示了Cert Manager自动签发和管理TLS证书的过程但在实践中会遇到一些问题1.HTTP验证问题cert-manager默认使用HTTP-01验证时需要暴露服务器或负载均衡的80端口给互联网。如果环境比较敏感或者不想对外暴露服务这会带来极大的安全隐患。2.DNS验证问题采用DNS-01验证虽然只需要有DNS的API修改权限但是对于没有公网DNS控制权的用户来说非常麻烦并且无法保证安全性需要额外的审计手段。3.缺乏额外防护虽然cert manager可以完成证书自动化但它本身不提供CDN、WAF、流量限制等功能即便对于个人测试环境也显得很单薄。所以如果只需要快速实现HTTPS并配合一些流量管理cert manager并非最优选择。二. Cloudflare免费模式下的优势针对个人测试环境等Cloudflare的免费套餐已经提供了很多的基础实用功能。1.免费的CDN与DNS提供最基本的CDN缓存与DNS服务器功能。2.免费的SSL证书提供免费通用的SSL/TLS证书保护我们的站点类似AWS Certificate Manager并且支持Cloudflare站点到我们业务站点之间通过自签名证书做TLS加密。3.免费的WAF与流量限制即使免费模式也能设置IP访问限制、速率限制、防爬虫等规则弥补了cert manager等工具的不足。三. 解决方案概览我们通过Cloudflare Kubernetes Ingress 自签名证书构建一个测试环境实现1.域名代理外部访问经过Cloudflare再由Ingress转发到后端服务隐藏我们业务服务器的IP地址。2.HTTPS加密由Cloudflare提供SSL/TLS终端供给浏览器访问域名使用Cloudflare和Ingress之间使用自签名证书加密流量。3.流量控制通过Cloudflare页面设置简单的IP访问限制和速率限制。四.配置示例1.配置DNS和网络安全组首先我们查看Cloudflare名称服务器然后把域名的DNS服务器修改为Cloudflare指定的服务器这里以阿里云购买的域名为例配置生效要等待一段时间我们可以同时配置DNS记录个人测试环境没有创建负载均衡使用云厂商的负载均衡会产生额外的费用直接A记录指向了Kubernetes Ingress所在的服务器地址。在服务器对应的网络安全组删除所有0.0.0.0/0的入站规则只配置Cloudflare出口地址2.创建Cloudflare源证书Cloudflare和源服务器之间的TLS证书可以用openssl等工具生成。这里我们使用最简单的方式让Cloudflare帮我们生成下载证书到服务器中然后创建secret# kubectl -n drone create secret tls cloudflare-origin-tls --certorigin.crt --keyorigin.key# kubectl -n drone get secret | grep cloudcloudflare-origin-tls kubernetes.io/tls 2 22s3.配置Ingress使用新的secret修改之前的yaml文件apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: drone-ingress namespace: drone annotations: nginx.ingress.kubernetes.io/backend-protocol: HTTP nginx.ingress.kubernetes.io/ssl-redirect: true #cert-manager.io/cluster-issuer: letsencrypt-prod ##注释/删除cert-manager引用 spec: ingressClassName: nginx tls: - hosts: - drone.fzwtest.xyz secretName: cloudflare-origin-tls ##改用我们新创建的secret rules: - host: drone.fzwtest.xyz http: paths: - path: / pathType: Prefix backend: service: name: drone-server port: number: 80执行部署# kubectl apply -f drone-ingress.yaml4.配置Cloudflare的SSL/TLS加密模式5.启用HTTP重定向HTTPS6.配置访问速率限制这里设置一个最简单的规则同一个IP来源对域名的访问每10秒钟最多10次超过限制后阻止它的访问请求10秒钟。五.验证现在访问http://drone.fzwtest.xyz前面的文章我们用Cert Manager代理过的域名。验证是否达到预期。1.Cloudflare拦截了请求并返回301跳转https给客户端2.客户端看到的Server地址是Cloudflare的地址隐藏了真实的服务器地址3.显示受信任的Cloudflare边缘证书4.多次快速刷新页面出现访问频率限制5.等待10秒后解除拦截其他子域名只需要修改对应的Kubernetes Ingress即可非常简单高效感谢Cloudflare提供的Free套餐。