Kubernetes Ingress控制器可通过ConfigMap统一配置TLS策略:启用ssl-redirect、force-ssl-redirect实现HTTP强制跳转HTTPS;设置ssl-protocols、ssl-ciphers锁定协议与密码套件;配置hsts开启严格传输安全;通过default-ssl-certificate指定默认证书Secret,避免Ingress中重复配置。
要让 Kubernetes Ingress 控制器(以 ingress-nginx 为例)实现全局统一下发的 TLS 安全策略,关键不是在每个 Ingress 资源里重复配置证书或重定向,而是通过控制器自身的 ConfigMap 和默认 SSL 设置,把 TLS 行为“下沉”到 Nginx 层统一管控。这样既能避免配置碎片化,又能确保所有 HTTPS 流量遵循一致的加密强度、协议版本和重定向逻辑。
ingress-nginx 控制器启动时会读取名为 nginx-configuration(通常位于 kube-system 命名空间)的 ConfigMap,其中的键值对直接映射为 Nginx 配置指令。你需要更新它来开启并固化 TLS 行为:
ssl-redirect: "true" 和 force-ssl-redirect: "true",让所有匹配该 Ingress Controller 的 HTTP 请求自动 308 跳转到 HTTPSssl-protocols: "TLSv1.2 TLSv1.3" 和 ssl-ciphers: "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256...(推荐现代强密码)",禁用 TLS 1.0/1.1hsts: "true" 和 hsts-max-age: "31536000",强制浏览器后续访问只走 HTTPS更新后执行 kubectl rollout restart deploy -n kube-system ingress-nginx-controller 使配置生效。
如果你有多个域名共用同一张通配符证书或组织级证书,可以跳过在每个 Ingress 中写 tls[].secretName,改用控制器的 default SSL certificate 机制:
kubectl create secret tls default-tls-secret --cert=tls.crt --key=tls.key -n kube-system
ssl-default-backend: "default-tls-secret"(注意:实际字段名是 default-ssl-certificate,值格式为 <namespace>/<secret-name>,如 kube-system/default-tls-secret)tls 块的 Ingress,只要其 host 匹配该证书的 SAN 或 CN,就会自动启用该证书提供 HTTPS 服务当业务涉及多个子域(如 api.example.com、app.example.com),又不想为每个都建独立 Secret,可采用以下方式提升可维护性:
certs)下的 Secret,例如 multi-domain-tls
tls[0].secretName: multi-domain-tls + tls[0].namespace: certs(需确认你的 ingress-nginx 版本 ≥ v1.3.0 支持此语法)ClusterIssuer 自动签发,并将生成的 Secret 同步至 certs 命名空间,实现证书生命周期全自动配置完成后不能仅依赖 Ingress 状态,需从 Nginx 实例内部验证实际加载的配置:
kubectl exec -it -n kube-system deploy/ingress-nginx-controller -- cat /etc/nginx/nginx.conf | grep -A5 -B5 ssl_,确认 ssl_protocols、ssl_ciphers、return 308 等指令已写入openssl s_client -connect example.com:443 -tls1_1 测试是否被拒绝,再用 -tls1_2 验证是否成功握手Strict-Transport-Security,且返回状态码为 308 Permanent Redirect
不复杂但容易忽略的是:ConfigMap 修改后必须重启控制器 Pod;跨命名空间引用 Secret 需对应 Ingress Controller 版本支持;而默认证书仅对未定义 tls 块的 Ingress 生效——若已有 Ingress 显式写了 secretName,它仍会优先使用自己的配置。