操作步驟

1. 創建示例服務myexampleapp。

   1. 使用以下內容，創建myexample-nginx.conf。

      本示例服務基于Nginx實現，您需要為Nginx服務器創建配置文件。以域名aliyun.com的服務為例，以下內容定義請求根路徑直接返回字樣Welcome to aliyun.com!及狀態碼200。

      events {
      }
      http {
        log_format main '$remote_addr - $remote_user [$time_local]  $status '
        '"$request" $body_bytes_sent "$http_referer" '
        '"$http_user_agent" "$http_x_forwarded_for"';
        access_log /var/log/nginx/access.log main;
        error_log  /var/log/nginx/error.log;
        server {
          listen 80;
          location / {
              return 200 'Welcome to aliyun.com!';
              add_header Content-Type text/plain;
          }
        }
      }

   2. 執行以下命令，創建Nginx服務器的配置項。

      kubectl create configmap myexample-nginx-configmap --from-file=nginx.conf=./myexample-nginx.conf

   3. 使用以下內容，創建myexampleapp.yaml。

      展開查看myexampleapp.yaml

      apiVersion: v1
      kind: Service
      metadata:
        name: myexampleapp
        labels:
          app: myexampleapp
      spec:
        ports:
        - port: 80
          protocol: TCP
        selector:
          app: myexampleapp
      ---
      apiVersion: apps/v1
      kind: Deployment
      metadata:
        name: myexampleapp
      spec:
        selector:
          matchLabels:
            app: myexampleapp
        replicas: 1
        template:
          metadata:
            labels:
              app: myexampleapp
          spec:
            containers:
            - name: nginx
              image: anolis-registry.cn-zhangjiakou.cr.aliyuncs.com/openanolis/nginx:1.14.1-8.6
              ports:
              - containerPort: 80
              volumeMounts:
              - name: nginx-config
                mountPath: /etc/nginx
                readOnly: true
            volumes:
            - name: nginx-config
              configMap:
                name: myexample-nginx-configmap

   4. 執行以下命令，創建域名為aliyun.com的內部服務。

      kubectl apply -f myexampleapp.yaml

2. 在ASM網關中導入myexampleapp服務。

   1. 登錄ASM控制臺，在左側導航欄，選擇服務網格 > 網格管理。

   2. 在網格管理頁面，單擊目標實例名稱，然后在左側導航欄，選擇ASM網關 > 入口網關。

   3. 在入口網關頁面，單擊目標網關的名稱。

   4. 在網關詳情頁面左側導航欄，單擊上游服務。

   5. 在上游服務頁面，單擊導入服務。

   6. 在導入服務頁面，選擇命名空間，選中myexampleapp服務，單擊圖標，然后單擊確認。

3. 創建證書和私鑰。

   1. 在openssl中執行以下命令，創建根證書和私鑰。

      openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=myexample Inc./CN=aliyun.com' -keyout aliyun.root.key -out aliyun.root.crt

   2. 執行以下命令，為aliyun.com服務器生成證書和私鑰。

      • 執行以下命令，創建證書aliyun.com.crt。

        openssl x509 -req -days 365 -CA aliyun.root.crt -CAkey aliyun.root.key -set_serial 0 -in aliyun.com.csr -out aliyun.com.crt

      • 執行以下命令，創建私鑰aliyun.com.key。

        openssl req -out aliyun.com.csr -newkey rsa:2048 -nodes -keyout aliyun.com.key -subj "/CN=aliyun.com/O=myexample organization"

4. 添加證書和私鑰掛載卷到ASM網關。

   說明

   • ASM實例從1.17版本起，支持使用證書管理頁面的證書。建議您盡快將證書遷移至證書管理，即直接在證書管理頁面新建一個同名證書，自動會覆蓋已創建的證書，無需手動刪除。關于升級實例的具體操作，請參見升級ASM實例。

   • 證書管理頁面的證書會自動在數據面創建同名Secret。若已存在同名Secret，則會用新內容覆蓋該Secret。

   ASM實例版本為1.17以下

   1. 登錄ASM控制臺，在左側導航欄，選擇服務網格 > 網格管理。

   2. 在網格管理頁面，單擊目標實例名稱，然后在左側導航欄，選擇ASM網關 > 入口網關。

   3. 在入口網關頁面，單擊目標網關的名稱，然后在網關詳情頁面左側導航欄，單擊域名/證書。

   4. 在域名/證書頁面，單擊證書頁簽，然后單擊創建。

   5. 在新建證書頁面，輸入名稱，將aliyun.com.crt的內容復制到證書文本框，aliyun.com.key的內容復制到私鑰文本框，然后單擊創建。

   ASM實例版本為1.17及以上

   1. 登錄ASM控制臺，在左側導航欄，選擇服務網格 > 網格管理。

   2. 在網格管理頁面，單擊目標實例名稱，然后在左側導航欄，選擇ASM網關 > 證書管理。

   3. 在證書管理頁面，單擊創建，然后在證書信息面板，配置相關信息，單擊確定。

      配置項	說明
      名稱	輸入證書的名稱，本示例為myexample-credential。
      公鑰證書	步驟3生成的aliyun.com.crt內容。
      私鑰	步驟3生成的aliyun.com.key內容。

5. 綁定域名與證書。

   1. 登錄ASM控制臺，在左側導航欄，選擇服務網格 > 網格管理。

   2. 在網格管理頁面，單擊目標實例名稱，然后在左側導航欄，選擇ASM網關 > 入口網關。

   3. 在入口網關頁面，單擊目標網關的名稱，然后在網關詳情頁面左側導航欄，單擊域名/證書。

   4. 在域名/證書頁面的域名頁簽，單擊創建。

   5. 在新建域名頁面，設置域名為*.aliyun.com，協議為HTTPS，輸入端口名稱和端口，選擇證書，選中是否使用TLS保護連接，然后單擊創建。

      說明

      選中是否使用TLS保護連接，表示只有TLS請求才能訪問到域名。

6. 執行以下命令，使用HTTPS協議訪問aliyun.com，驗證綁定域名與證書是否成功。

   curl -k -H Host:www.aliyun.com --resolve www.aliyun.com:443:<ASM網關地址>  https://www.aliyun.com

   預期輸出：

   Welcome to aliyun.com!

   如果使用HTTPS協議訪問aliyun.com成功，表明綁定域名與證書成功。