DR：在本文中，您将学习如何利用大使API网关，通过TLS证书保护Kubernetes集群中运行的应用程序。本文描述的方法将使您能够使用Let's Encrypt免费颁发证书。这样，你就可以免费增强你的群集（及其应用程序）的安全性，即使你在它们上托管多个域。如果需要仔细检查这里提供的Kubernetes资源，可以使用GitHub存储库作为参考。"了解大使、证书管理器和Let'sEncrypt如何协同工作，低价云服务器，免费向Kubernetes群集的域颁发TLS证书！"在推特上留言先决条件要继续阅读本文，您将需要一些有关Kubernetes的经验。如果您是这个平台的新手，请查看"逐步介绍基本Kubernetes概念"教程。在那里，你将学习所有你需要遵循这里的指示。除此之外，您还需要kubectl，一个命令行界面（CLI）工具，它使您能够从终端控制集群。如果没有这个工具，请查看上面提到的文章中"安装Kube控件（kubectl）"部分的说明。您需要的另一件事是几个域来测试这里描述的步骤。如果你已经有了一些域名，你可以使用它们（或者你可以在你拥有的域名下使用子域，例如：kubernetes）-tutorial.yourdomain.com教程). 如果你没有任何可以使用的域名，你可以在Freenom上免费获得一些。最后，您还需要一个Kubernetes集群。如果您已经有一个集群在运行，那么您可以跳过下一节并开始行动。如果你没有，继续读下去，因为你将学会如何使用数字海洋免费启动一个集群。建立一个库伯内特斯星系团首先，在阅读本文时，您可以使用这个DO referral链接来获得一些信用以避免支付。如果你不使用推荐链接，你将从一开始就为你的集群付费。这可能不是什么大问题，因为DigitalOcean的价格相当公平，您需要让集群运行不到一个小时。也就是说，它的价格不会超过几美分，但是，云服务器好用吗，好吧，不付钱总比付钱好，对吧？使用此链接在DigitalOcean上创建帐户后，您将收到电子邮件确认。使用发送给您的链接来确认您的电子邮件地址。确认您的地址后，DigitalOcean会向您索要信用卡。别担心这个。如果你花的钱不超过100美元，他们一分钱也不收。输入有效的信用卡后，您可以使用下一个屏幕来创建一个项目，或者您可以使用此链接跳过这个不必要的步骤，转到DO的Managed Kubernetes仪表板。在仪表板中，您可以点击Createakubernetes集群按钮（您可能需要先单击enablelimiteaccess）。然后，DigitalOcean将向您显示一个新页面，其中包含一个表单，您可以按如下方式填写：选择一个Kubernetes版本：本文中的说明是用1.13.5-do.1版本测试的。如果您想测试其他版本，请随时进行测试。告诉我们进展如何。选择一个数据中心区域：可以随意选择您喜欢的任何区域。选择集群容量：确保只有一个节点池，云服务器平台，选择了每个节点10美元/月的选项，并且至少有三个节点。添加标签：不用担心标记任何东西。选择一个名称：您可以随意命名集群（例如，"kubernetes tutorial"）。只需确保DigitalOcean接受该名称（例如，名称不能包含空格）。填写完此表单后，您可以单击CreateCluster按钮。在DigitalOcean为您创建集群之前，需要几分钟的时间。但是，您现在已经可以下载集群的配置文件了。此文件包含您作为群集管理员所需的凭据，您可以在群集的仪表板上找到它。单击"创建群集"按钮后，返现app，DigitalOcean将您重定向到群集的仪表板。从那里，如果你滚动到底部，你会看到一个名为下载配置文件的按钮。点击此按钮下载文件。下载完此文件后，打开一个终端并将文件移动到home dir中的.kube目录（您可能需要先创建此目录）：#确保。库比存在mkdir~/.kube#将配置文件移到其中mv~/下载/kubernetes教程-库贝配置.yaml~/.kube公司如果需要，请使用下载文件的正确路径调整最后一个命令。~/.kube目录是保存Kubernetes凭据的好地方。默认情况下，kubectl将使用一个名为config的文件（如果它在.kube目录中找到一个）来与集群通信。要使用不同的文件，您有三种选择：首先，返利怎么使用，可以通过在kubectl命令中使用--kubeconfig标志指定另一个文件，但这太麻烦了。其次，您可以定义KUBECONFIG环境变量，以避免一直输入--KUBECONFIG。第三，可以在同一个配置文件中合并上下文，然后可以切换上下文。第二个选项（设置KUBECONFIG环境变量）是最简单的一个，但是如果愿意，可以选择其他方法。要设置此环境，可以发出以下命令：export KUBECONFIG=~/.kube/kubernetes教程-库贝配置.yaml注意：文件路径可能不同。确保上面的命令包含正确的路径。请记住，此命令将仅在此终端的会话上设置此环境。如果打开一个新的终端，则必须再次执行此命令。什么是大使？API网关如果您不知道大使，您将用来管理TLS证书的Kubernetes原生API网关，不要担心。大使是建立在一个声明性的配置模型上的，它在特使代理中公开了一堆非常漂亮的特性。这个工具是一个开源项目，可以帮助您"保护、扩展和发布您的微服务"，而且非常容易使用。在深入阅读本文之前，您不需要真正了解它。但是你可以在阅读完他们的说明之后再看一遍。注意：在进入下一节之前，请确保Kubernetes集群已经启动并正在运行。为此，请执行kubectl get nodes并检查STATUS列上是否显示所有节点就绪。部署大使在这些介绍性步骤之后，是时候看到一些行动了。首先，您需要在Kubernetes集群中安装大使。为此，请执行以下代码：#安装大使kubectl应用-fhttps://getambassador.io/yaml/ambassador/ambassador-rbac.yaml注意：如果不使用DigitalOcean，则可能需要发出一些不同的命令。在这种情况下，请查看此资源的"部署大使"部分的说明。安装大使之后，您需要创建一个Kubernetes服务来公开与网关集成的负载平衡器。为此，您需要创建一个YAML文件。但是，在执行此操作之前，由于您需要在本文中创建一些不同的YAML文件，因此最好创建并使用一个目录来对这些文件进行分组。因此，在您首选的位置，创建一个名为ambassador tls的目录；然后进入其中：#创建一个目录来添加YAML文件mkdir大使tls#进去吧cd大使tls之后，创建一个名为ambassador的文件-服务.yaml在该目录中添加以下代码：---API版本：v1种类：服务元数据：姓名：大使规格：类型：负载平衡器externalTrafficPolicy:本地端口：-名称：http协议：TCP端口：80目标端口：8080选择器：服务：大使如前所述，此文件创建了一个服务（kind:service），该服务通过附加到大使（service:Ambassador）的LoadBalancer公开集群。现在，执行以下命令将此服务部署到集群：kubectl apply-f大使-服务.yaml此命令将立即完成执行。但是，该服务创建的负载平衡器是由Kubernetes供应商（例如DigitalOcean）控制的外部元素，需要几分钟才能启动。要检查负载平衡器是否已可用，请发出以下命令：kubectl得到svc大使如果此命令显示的EXTERNAL-IP列显示，则负载平衡器尚未就绪。不过，您可以继续使用此处的说明，直到另行通知。由于您需要一个应用程序启动并运行以查看整个配置的运行情况，因此您将部署一个示例应用程序。为此，请创建一个名为部署.yaml并添加以下代码：---API版本：应用程序/v1种类：部署元数据：名称：kubernetes教程部署规格：副本：1选择器：匹配标签：应用程序：kubernetes教程部署模板：元数据：标签：应用程序：kubernetes教程部署规格：容器：-名称：kubernetes教程应用程序图片：auth0blog/kubernetes教程端口：-集装箱港口：3000当应用时，这个文件将部署一个简单的应用程序，模拟一个更简单的Twitter应用程序，用户可以在其中分享他们的想法。但是，请注意，这个应用程序甚至不处理用户身份验证（顺便说一句，如果您阅读了Kubernetes的介绍，您会注意到这是同一个应用程序）。创建此文件后，执行以下命令以应用展开：kubectl应用-f部署.yaml然后，您需要创建另一个服务。这次的目标是公开集群内部的部署。所以，创建一个名为服务.yaml并添加以下代码：---API版本：v1种类：服务元数据：名称：kubernetes辅导服务注释