开源域名代理与流量限制方案 - Cloudflare + Ingress + 自签名证书

目录

[一. Cert Manager的局限性](#一. Cert Manager的局限性)

1.HTTP验证问题

2.DNS验证问题

3.缺乏额外防护

[二. Cloudflare免费模式下的优势](#二. Cloudflare免费模式下的优势)

1.免费的CDN与DNS

2.免费的SSL证书

3.免费的WAF与流量限制

[三. 解决方案概览](#三. 解决方案概览)

1.域名代理

2.HTTPS加密

3.流量控制

四.配置示例

1.配置DNS和网络安全组

2.创建Cloudflare源证书

3.配置Ingress使用新的secret

4.配置Cloudflare的SSL/TLS加密模式

5.启用HTTP重定向HTTPS

6.配置访问速率限制

五.验证

---

一. Cert Manager的局限性

我们在开源域名证书工具 - cert-manager中演示了Cert Manager自动签发和管理TLS证书的过程，但在实践中会遇到一些问题：

1.HTTP验证问题

cert-manager默认使用HTTP-01验证时，需要暴露服务器或负载均衡的80端口给互联网。如果环境比较敏感，或者不想对外暴露服务，这会带来极大的安全隐患。

2.DNS验证问题

采用DNS-01验证虽然只需要有DNS的API修改权限，但是对于没有公网DNS控制权的用户来说非常麻烦，并且无法保证安全性，需要额外的审计手段。

3.缺乏额外防护

虽然cert manager可以完成证书自动化，但它本身不提供CDN、WAF 、流量限制等功能，即便对于个人测试环境也显得很单薄。

所以，如果只需要快速实现HTTPS并配合一些流量管理，cert manager并非最优选择。

二. Cloudflare免费模式下的优势

针对个人测试环境等，Cloudflare的免费套餐已经提供了很多的基础实用功能。

1.免费的CDN与DNS

提供最基本的CDN缓存与DNS服务器功能。

2.免费的SSL证书

提供免费通用的SSL/TLS证书保护我们的站点（类似AWS Certificate Manager），并且支持Cloudflare站点到我们业务站点之间通过自签名证书做TLS加密。

3.免费的WAF与流量限制

即使免费模式，也能设置IP访问限制、速率限制、防爬虫等规则，弥补了cert manager等工具的不足。

三. 解决方案概览

我们通过Cloudflare + Kubernetes Ingress + 自签名证书构建一个测试环境，实现：

1.域名代理

外部访问经过Cloudflare，再由Ingress转发到后端服务；隐藏我们业务服务器的IP地址。

2.HTTPS加密

由Cloudflare提供SSL/TLS终端，供给浏览器访问域名使用；Cloudflare和Ingress之间使用自签名证书加密流量。

3.流量控制

通过Cloudflare页面设置简单的IP访问限制和速率限制。

四.配置示例

1.配置DNS和网络安全组

首先我们查看Cloudflare名称服务器：

然后把域名的DNS服务器修改为Cloudflare指定的服务器（这里以阿里云购买的域名为例）：

配置生效要等待一段时间，我们可以同时配置DNS记录：

个人测试环境没有创建负载均衡（使用云厂商的负载均衡会产生额外的费用），直接A记录指向了Kubernetes Ingress所在的服务器地址。

在服务器对应的网络安全组删除所有0.0.0.0/0的入站规则，只配置Cloudflare出口地址：

2.创建Cloudflare源证书

Cloudflare和源服务器之间的TLS证书，可以用openssl等工具生成。

这里我们使用最简单的方式，让Cloudflare帮我们生成：

下载证书到服务器中，然后创建secret：

kubectl -n drone create secret tls cloudflare-origin-tls --cert=origin.crt --key=origin.key

kubectl -n drone get secret | grep cloud

cloudflare-origin-tls kubernetes.io/tls 2 22s

3.配置Ingress使用新的secret

修改之前的yaml文件：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: drone-ingress
  namespace: drone
  annotations:
    nginx.ingress.kubernetes.io/backend-protocol: "HTTP"
    nginx.ingress.kubernetes.io/ssl-redirect: "true"
    #cert-manager.io/cluster-issuer: "letsencrypt-prod"  ##注释/删除cert-manager引用
spec:
  ingressClassName: nginx
  tls:
    - hosts:
        - drone.fzwtest.xyz
      secretName: cloudflare-origin-tls  ##改用我们新创建的secret
  rules:
    - host: drone.fzwtest.xyz
      http:
        paths:
          - path: /
            pathType: Prefix
            backend:
              service:
                name: drone-server
                port:
                  number: 80

执行部署：

kubectl apply -f drone-ingress.yaml

4.配置Cloudflare的SSL/TLS加密模式

5.启用HTTP重定向HTTPS

6.配置访问速率限制

这里设置一个最简单的规则：同一个IP来源对域名的访问每10秒钟最多10次，超过限制后阻止它的访问请求10秒钟。

五.验证

现在访问http://drone.fzwtest.xyz（前面的文章我们用Cert Manager代理过的域名）。验证是否达到预期。

1.Cloudflare拦截了请求，并返回301跳转https给客户端；

2.客户端看到的Server地址是Cloudflare的地址，隐藏了真实的服务器地址；

3.显示受信任的Cloudflare边缘证书；

4.多次快速刷新页面，出现访问频率限制；

5.等待10秒后解除拦截：

其他子域名只需要修改对应的Kubernetes Ingress即可，非常简单高效（感谢Cloudflare提供的Free套餐）。