如何基于 Kubernetes Ingress 控制器底层 Nginx 机制配置全局统一下发的 TLS 安全策略

作者:袖梨 2026-06-23
Kubernetes Ingress控制器可通过ConfigMap统一配置TLS策略:启用ssl-redirect、force-ssl-redirect实现HTTP强制跳转HTTPS;设置ssl-protocols、ssl-ciphers锁定协议与密码套件;配置hsts开启严格传输安全;通过default-ssl-certificate指定默认证书Secret,避免Ingress中重复配置。

要让 Kubernetes Ingress 控制器(以 ingress-nginx 为例)实现全局统一下发的 TLS 安全策略,关键不是在每个 Ingress 资源里重复配置证书或重定向,而是通过控制器自身的 ConfigMap 和默认 SSL 设置,把 TLS 行为“下沉”到 Nginx 层统一管控。这样既能避免配置碎片化,又能确保所有 HTTPS 流量遵循一致的加密强度、协议版本和重定向逻辑。

修改 ingress-nginx 的全局 ConfigMap 启用强制 HTTPS 和 TLS 策略

ingress-nginx 控制器启动时会读取名为 nginx-configuration(通常位于 kube-system 命名空间)的 ConfigMap,其中的键值对直接映射为 Nginx 配置指令。你需要更新它来开启并固化 TLS 行为:

  • 启用全局 HTTPS 重定向:设置 ssl-redirect: "true"force-ssl-redirect: "true",让所有匹配该 Ingress Controller 的 HTTP 请求自动 308 跳转到 HTTPS
  • 锁定 TLS 协议与密码套件:添加 ssl-protocols: "TLSv1.2 TLSv1.3"ssl-ciphers: "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256...(推荐现代强密码)",禁用 TLS 1.0/1.1
  • 启用 HSTS(HTTP Strict Transport Security):加入 hsts: "true"hsts-max-age: "31536000",强制浏览器后续访问只走 HTTPS

更新后执行 kubectl rollout restart deploy -n kube-system ingress-nginx-controller 使配置生效。

为所有 Ingress 统一指定默认 TLS Secret(免逐个配置)

如果你有多个域名共用同一张通配符证书或组织级证书,可以跳过在每个 Ingress 中写 tls[].secretName,改用控制器的 default SSL certificate 机制:

  • 先将证书和私钥创建为 Secret,例如:kubectl create secret tls default-tls-secret --cert=tls.crt --key=tls.key -n kube-system
  • 在 ConfigMap 中添加字段:ssl-default-backend: "default-tls-secret"(注意:实际字段名是 default-ssl-certificate,值格式为 <namespace>/<secret-name>,如 kube-system/default-tls-secret
  • 这样,任何未显式声明 tls 块的 Ingress,只要其 host 匹配该证书的 SAN 或 CN,就会自动启用该证书提供 HTTPS 服务

集中管理多域名证书并按需分发

当业务涉及多个子域(如 api.example.comapp.example.com),又不想为每个都建独立 Secret,可采用以下方式提升可维护性:

  • 将多域名证书(含完整 SAN 列表)统一存入一个命名空间(如 certs)下的 Secret,例如 multi-domain-tls
  • 在各业务命名空间的 Ingress 中,通过跨命名空间引用方式使用:tls[0].secretName: multi-domain-tls + tls[0].namespace: certs(需确认你的 ingress-nginx 版本 ≥ v1.3.0 支持此语法)
  • 配合 Cert-Manager 的 ClusterIssuer 自动签发,并将生成的 Secret 同步至 certs 命名空间,实现证书生命周期全自动

验证与观测 TLS 策略是否真正生效

配置完成后不能仅依赖 Ingress 状态,需从 Nginx 实例内部验证实际加载的配置:

  • 进入任一 ingress-nginx Pod:kubectl exec -it -n kube-system deploy/ingress-nginx-controller -- cat /etc/nginx/nginx.conf | grep -A5 -B5 ssl_,确认 ssl_protocolsssl_ciphersreturn 308 等指令已写入
  • openssl s_client -connect example.com:443 -tls1_1 测试是否被拒绝,再用 -tls1_2 验证是否成功握手
  • 访问 HTTP 地址,检查响应头是否含 Strict-Transport-Security,且返回状态码为 308 Permanent Redirect

不复杂但容易忽略的是:ConfigMap 修改后必须重启控制器 Pod;跨命名空间引用 Secret 需对应 Ingress Controller 版本支持;而默认证书仅对未定义 tls 块的 Ingress 生效——若已有 Ingress 显式写了 secretName,它仍会优先使用自己的配置。

相关文章

精彩推荐