方法一：对所有ingress进行配置

1. 阿里云申请通配符域名

由于目前还没有交易的情景，并且暂时没有较多用户的敏感信息，目前申请的是域名型证书，保证通信是加密传输即可。参考阿里云文档：https://help.aliyun.com/document_detail/98574.html?spm=a2c4g.11186623.6.603.59a020674FUyXO（域名所有权验证选自动验证即可）

目前申请好的是*.seec.seecoder.cn，这种通配符域名只允许一级子域名，像a.b.seec.seecoder.cn是不符合要求的。

2. 下载nginx版证书，包括.key和.pem文件

3. 将证书上传至服务器

4. 为需要的服务配置ingress规则

手动配置某个应用的ingress：

• 用申请好的证书创建secret：

kubectl create secret tls [secretName]  --cert=[pem文件路径] --key=[key文件路径] --namespace [namespace]

• 修改ingress配置：

kubectl edit ingress [ingress name] -n [namespace]

• 在spec下加入tls配置：

secretName对应创建好的secret名，hosts必须和rules下的域名完全匹配

注意：一个ingress只能用一个secret，然后hosts中的域名必须都被该证书所支持

spec:
  rules:
  - host: seecoder-paas-pool.seec.seecoder.cn
    http:
      paths:
      - backend:
          serviceName: environment-1-1
  tls:
  - hosts:
    - seecoder-paas-pool.seec.seecoder.cn
    secretName: seecoder-paas

方法二：配置k8s默认证书

通过paas为每个应用的ingress增加tls的功能会出现证书不生效，而采用k8s默认证书的情况。

因此决定配置Nginx默认证书，这里可以参考rancher文档。

• 首先生成secrets

kubectl create secret tls seecoder-paas  --cert=*.pem --key=*.key --namespace seec -o yaml --dry-run=true > ingress-default-cert.yaml

• 修改启动参数

kubectl -n ingress-nginx  edit daemonset nginx-ingress-controller 

在container的参数中加入- --default-ssl-certificate=[namespace]/[secretName]（也就是namespace + 刚刚生成的secret名）

• 删除nginx入口控制器pods以让配置生效，k8s会自动重新生成

kubectl delete pod -l app=ingress-nginx -n ingress-nginx

参考：https://zhuanlan.zhihu.com/p/81268969

7.7 update：
证书过期后更新：

kubectl create -n seec secret tls seecoder-paas --cert=./*.pem --key=./*.key --dry-run -o yaml |kubectl apply  -f -