security - 在同一个 kubernetes 集群上安装两个 traefik ingress controller-6ren

security - 在同一个 kubernetes 集群上安装两个 traefik ingress controller

转载作者：行者123 更新时间：2023-12-02 11:51:46

33

4

我有一种情况，我计划在 Kubernetes 集群中使用两个单独的 traefik 入口 Controller 。

我有一些 URL，我希望它们只能通过 VPN 访问，而很少有一些可以公开访问。

在当前架构中，我有一个 traefik-ingress Controller 和两个独立的 ALB，一个内部的和一个面向互联网的，都指向 traefik。
比方说，我有一个 URL public.example.com和 private.example.com . public.example.com指向面向互联网的 ALB，并且 private.example.com指向内部 ALB。但是，如果有人知道 public.example.com 的指向怎么办？和点private.example.com指向他的 /etc/hosts ，他将能够访问我的私有(private)网站。

为避免这种情况，我计划运行两个单独的 traefik-ingress-controller，一个将仅提供私有(private) URL 和一个公共(public) URL。这可以做到吗？或者有什么其他方法可以避免这种情况

最佳答案

为了部署两个单独的 traefik-ingress Controller ，分别为私有(private)和公共(public)流量提供服务，我使用了 kubernetes.ingressclass=traefik args。

这是文档对 kubernetes.ingressclass 的描述:

--kubernetes.ingressclass  Value of kubernetes.io/ingress.class annotation to watch for

我创建了两个部署，分别为 kubernetes.ingressclass 设置值。

一个带有 kubernetes.ingressclass=traefik，它位于公共(public) ALB 后面，而 kubernetes.ingressclass=traefik-internal，位于私有(private)/内部 ALB 后面

对于我想私下提供的服务，我在入口对象中使用以下注释:

annotations:
    kubernetes.io/ingress.class: traefik-internal

对于公众

annotations:
  kubernetes.io/ingress.class: traefik

我的 deployment.yaml

---
kind: Deployment
apiVersion: apps/v1
metadata:
  name: traefik-internal-ingress-controller
  namespace: kube-system
  labels:
    k8s-app: traefik-internal-ingress-lb
spec:
  replicas: 1
  selector:
    matchLabels:
      k8s-app: traefik-internal-ingress-lb
  template:
    metadata:
      labels:
        k8s-app: traefik-internal-ingress-lb
    spec:
      serviceAccountName: traefik-internal-ingress-controller
      terminationGracePeriodSeconds: 60
      containers:
      - image: traefik:v1.7
        name: traefik-internal-ingress-lb
        ports:
        - name: http
          containerPort: 80
        - name: admin
          containerPort: 8080
        args:
        - --api
        - --kubernetes
        - --logLevel=INFO
        - --accesslog=true
        - --kubernetes.ingressclass=traefik-internal ##this makes it to watch only for ingress objects with annotaion "kubernetes.io/ingress.class: traefik-internal"

希望这对某人有帮助。

关于security - 在同一个 kubernetes 集群上安装两个 traefik ingress controller，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/60913719/

33

4

0

文章推荐： kubernetes - 使用单个 HELM 模板的多个资源

文章推荐： hibernate - 为什么 FetchType.LAZY 在 Hibernate/JPA 中不起作用？

文章推荐： kubernetes - Istio 复杂 K8sObjectOverlay.PathValue

traefik - 在多个域中使用 Traefik
我正在尝试使用两个域和使用 Let's Encrypt 生成的证书来设置 traefik 的 dockerized 版本。我已经修改了 traefik.toml 看起来像这样: [acme] e
traefik - traefik.domain 和 traefik.frontend.rule=Host 有什么区别
traefik.frontend.rule=Host:example.com 将对 example.com 的请求重定向到该后端。那么traefik.domain有什么用呢？最佳答案默认前端规则为
traefik - traefik.domain 和 traefik.frontend.rule=Host 有什么区别
traefik.frontend.rule=Host:example.com 将对 example.com 的请求重定向到该后端。那么traefik.domain有什么用呢？最佳答案默认前端规则为
traefik - 使用 Traefik 将路径重定向到同一个容器但不同的端口
我使用 docker compose(运行 swarm 模式)进行了以下设置: mydomain.com --> ContainerA:8080 但我想要的是通过标签，为同一个容器指定以下内容: my
traefik - 为 Traefik 定义主机和路径前端规则
我正在尝试使用 Traefik 在我的 Docker Swarm 模式集群中部署代理多个应用程序。我已经得到它以便它代理一个命名的主机，但我希望它代理一个命名的主机和路径，但我无法计算出我需要使用的
traefik - 如何验证 Traefik 配置
我绝对爱上了 Traefik。然而，作为初学者，我想念 Nginx 风格 nginx -t来验证配置文件。我在 docker 容器中运行 traefik，每当我更新我的配置文件(*.toml 文件)
docker - Traefik V2.2.1 - 除 Traefik 服务外的所有服务都返回 [NET::ERR_CERT_AUTHORITY_INVALID] 并使用 [TRAEFIK DEFAULT CERT]
我决定将 traefik 的版本从 1.7.x 升级到 2.2.1。所以我遵循了上述解决方案的指导方针(https://gist.github.com/fatihyildizhan/8f124039
traefik - 使用 traefik 重写内容 URL
我们使用 traefik 来反向代理我们的微服务环境，在 Kubernetes 的 staging 和 prod 上运行，并在本地使用 docker-compose。我们正在尝试将请求代理到特定微服务
traefik - 如何为 traefik 启用 logrotation？
如何为日志文件启用日志轮换，例如访问.log。这是内置的吗？文档只说“这允许日志由外部程序旋转和处理，例如 logrotate” 最佳答案如果您正在运行 Traefik 在 docker 容器然
traefik - 使用 Traefik 的 VueJS 路由器历史记录模式
我需要像这样重写我的应用程序的 URL:https://router.vuejs.org/guide/essentials/history-mode.html#example-server-confi
traefik - 使用 Traefik 进行 SSL 直通
我需要将 SSL 连接直接发送到后端，而不是在我的 Traefik 上解密。后端需要接收https请求。我尝试了 traefik.frontend.passTLSCert=true 选项，但是当我访
traefik - Traefik HTTPS 后端在端口 443 上出现内部服务器错误
使用 docker，我尝试使用 HTTPS 端口 443 设置 traefik 后端，因此 traefik 容器和应用程序容器(apache 2.4)之间的通信将被加密。我收到了 Internal
traefik - 将流量直接传递到容器以回答 Traefik 中的 LetsEncrypt 挑战
我有一个容器('矩阵')，基于 https://github.com/silvio/docker-matrix (虽然这可能并不重要)。它在端口 8448 和 3478(不是 80 或 443)上运
docker - 使用 Traefik 路由 Traefik UI
我是 Docker 和 Traefik 的新手，所以我决定和他们一起玩一下。我试着按照这个 digital ocean 教程:https://www.digitalocean.com/communit
traefik - 使用 traefik 作为第二台服务器上非 Docker 服务的反向代理
我有一个“服务器”设置，在容器中运行多个服务，其中 traefik 工作得很好。我想为在单独计算机上运行的服务添加虚拟主机，以便我可以访问 hassio.domain.com 并转发到该服务器。有一次
traefik - Traefik 中是否有等效于 Apache 的 ReverseProxyPass？
我已经将 Traefik 设置为在 Docker Swarm 模式下工作。我已使用以下命令将 Portainer 部署到集群中: docker service create
traefik - 在 Traefik 中的 ForwardAuth 之后设置授权 header
我正在从 Nginx 迁移到 Traefik 作为 Docker Swarm 的反向代理。目前，每个带有 Bearer Token 的请求都会被发送到身份验证服务(在 Swarm 中运行的微服务)，
traefik - Traefik 中的 Path 和 PathPrefix 匹配问题
使用 docker 容器中的 Traefix 1.2.3 版，我设置了以下文件。 traefik: image: traefik command: --web --docker --docke
traefik - 使用 LetsEncrypt 和多个 Docker 后端部署 Traefik
我正在考虑为我的网络项目 (Kestrel/.Net Core) 将 Apache 替换为 Traefik。阅读文档后，关于 Traefik，我还有一些不清楚的地方: 1/Traefik 是否自动处理
traefik - "WWW"到 "Non-WWW"使用 Traefik 的请求变量重定向？
我提前为我对 Traefik 的新手理解道歉，但有没有办法重写“非 www”域带有基于请求的变量 ? 我已经在谷歌上搜索了一个多小时，找不到答案。这是我如何在 Apache 中执行此操作的示例。你

首页

博学

6Ren·AI

商城

security - 在同一个 kubernetes 集群上安装两个 traefik ingress controller