質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.33%

  • Docker

    808questions

    Dockerは、Docker社が開発したオープンソースのコンテナー管理ソフトウェアの1つです

  • kubernetes

    26questions

Kubernetes で SSL 化

解決済

回答 1

投稿

  • 評価
  • クリップ 0
  • VIEW 417

shaw

score 91

 実現したいこと

kubernetes を使って SSL 化された web アプリを公開したい。

 現在の状況

Docker の image は作成済みです。
また、単純に http で公開することはできました。

しかし、SSL 化するため Ingress というものを挟んで行おうとするとうまく行きません。

 うまく行かない箇所

サービスの公開を NodePort で行うのですが、下記に記載の通り EXTERNAL IP が none になってしまいます。

NAME                TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)          AGE
hoge-brdcs   NodePort    10.55.243.11   <none>        8080:31642/TCP   31m

ここが原因で Ingress からサービスに繋がってないと考えています。

Ingress 側では 「Some backend services are in UNKNOWN state
」 のように出ています。

 最後に

上記を解決いただければ嬉しいのですが、他に SSL 化する方法などございましたらご教授ください。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

+2

Ingressを利用する場合は以下のような構成となるはずで、グローバルIPは Ingress に対して設定することになります
[Ingress]<->[NodePort(Service)]<->[Webサーバー]

なので、インターネットに公開されているのは Ingress となるので、Service の EXTERNAL-IP は none の状態が正しいです

"Some backend services are in UNKNOWN state" とエラーが出ているのは、何らかの原因で Ingress の spec.backend で設定しているサービスが見つけられないからだと考えられます
以下を確認してみてください

  • Ingress の spec.backend.serviceName と、Service の metadata.name が同じ値に設定されているか
  • Ingress の spec.backend.servicePort と Service の spec.ports が同じ値に設定されているか

詳細はこちらの記事の説明がわかりやすかったです
https://codezine.jp/article/detail/10523

仮に Ingress が上手くいかない場合は、Webサーバーの Pod に SSL 証明書を設定したものを利用すればできると思います
この場合だと SSL 証明書の更新の度に Webサーバーを全てアップデートする必要があるので手間がかかります

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/12/03 13:43

    横入りですみません、私も同じような悩みを抱えています。
    下記は、どうすればできるようになるのかご存知でしたらご教示頂けませんでしょうか?

    > Webサーバーの Pod に SSL 証明書を設定したものを利用すればできると思います

    キャンセル

  • 2018/12/12 11:13 編集

    ご質問ありがとうございます。

    > Webサーバーの Pod に SSL 証明書を設定したものを利用
    こちらは簡単にいうと、SSL証明書が設定済みの nginx の docker イメージを作るということですね。

    ただ nginx の設定ファイルも含めて docker image にまとめてしまうと設定変更の度に docker build が必要になってしまって非常に不便になります。
    そのため僕は ConfigMap を使って nignx の設定ファイルはそこから注入する形で設定していました。

    いずれにしてもこれは一時的な解決策で中長期の運用には向かないので、 Ingress に SSL 証明書を設定する方が良いと思います。

    過去に私が上手くいった例だと、こんな感じの設定で Ingress を使っていました。

    ```yaml
    apiVersion: extensions/v1beta1
    kind: Ingress
    metadata:
    name: public-interface
    annotations:
    kubernetes.io/ingress.global-static-ip-name: "application-global-ip" # 固定のグローバルIPを設定したい場合
    spec:
    tls:
    - secretName: letsencrypt-certs # let's encript で取得した SSL 証明書を secrets に保存しておき参照
    backend:
    serviceName: nginx # リバースプロキシ用の nginx では SSL を使わない
    servicePort: 80
    ```

    キャンセル

  • 2018/12/12 14:35

    ご回答ありがとうございます。何れにせよ、ingressは必要ということでしょうか?

    キャンセル

  • 2018/12/12 14:43

    というのも、現状、ingressとnordportの組み合わせていて、ingressをつかわず、nordportをloadbalancerにとりかえ、そのloadbalancerにssl証明をかませることができたりしないのかなと思った次第です。

    キャンセル

  • 2018/12/12 21:41

    なるほど。
    必ずしもingressが必要というわけではないですね。
    SSLを終端するロードバランサーの役割を想定して ingress が用意されているようなので、あくまで便利ですよというだけです。

    > nordportをloadbalancerにとりかえ、そのloadbalancerにssl証明をかませる
    ここで仰っている load balancer が何を指しているかが分からなかったのですが、具体的にどういった設定をしようとされているか教えていただくことはできますか?

    キャンセル

  • 2018/12/12 23:42

    ingress > nordport > nginx > cluster ip > application という順番でアクセスする構成にしています。ここでingressとnginxのつなぐ役割としてnordportを使っています。
    が、これをload balancer > nginx > cluster ip > application という構成にした場合、ingressをつかわずにhttps化したい場合にはどうすればよいのだろう?ということを考えています。

    キャンセル

同じタグがついた質問を見る

  • Docker

    808questions

    Dockerは、Docker社が開発したオープンソースのコンテナー管理ソフトウェアの1つです

  • kubernetes

    26questions