Https 如何让Kubernetes入口终止SSL和代理服务？_Https_Kubernetes_Kubernetes Ingress

Https 如何让Kubernetes入口终止SSL和代理服务？

https kubernetes

Https 如何让Kubernetes入口终止SSL和代理服务？,https,kubernetes,kubernetes-ingress,Https,Kubernetes,Kubernetes Ingress,我有一个centos7部署，kubernetes在裸机上。一切都很好。但是，我想让入口正常工作。因此，简而言之，我想做的是从入口中终止SSL，并在入口和我的服务之间使用纯http。这就是我所做的： 1）我 2）我已按照以下要求设置入口控制器： apiVersion: extensions/v1beta1 kind: DaemonSet metadata: name: nginx-ingress-controller namespace: ingress-nginx labels:

我有一个centos7部署，kubernetes在裸机上。一切都很好。但是，我想让

入口

正常工作。因此，简而言之，我想做的是从入口中终止SSL，并在入口和我的服务之间使用纯http。这就是我所做的：

1）我

2）我已按照以下要求设置入口控制器：

apiVersion: extensions/v1beta1
kind: DaemonSet
metadata:
  name: nginx-ingress-controller
  namespace: ingress-nginx
  labels:
    k8s-app: nginx-ingress-lb
    kubernetes.io/cluster-service: "true"
spec:
  template:
    metadata:
      labels:
        k8s-app: nginx-ingress-lb
        name: nginx-ingress-lb
    spec:
      hostNetwork: true
      terminationGracePeriodSeconds: 60
      serviceAccountName: nginx-ingress-serviceaccount
      nodeSelector:
        role: edge-router
      containers:
      - image: quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.12.0
        name: nginx-ingress-lb
        imagePullPolicy: Always
        readinessProbe:
          httpGet:
            path: /healthz
            port: 10254
            scheme: HTTP
        livenessProbe:
          httpGet:
            path: /healthz
            port: 10254
            scheme: HTTP
          initialDelaySeconds: 10
          timeoutSeconds: 1
        # use downward API
        env:
          - name: POD_NAME
            valueFrom:
              fieldRef:
                fieldPath: metadata.name
          - name: POD_NAMESPACE
            valueFrom:
              fieldRef:
                fieldPath: metadata.namespace
        ports:
          - containerPort: 80
            hostPort: 80
          - containerPort: 443
            hostPort: 443
        args:
          - /nginx-ingress-controller
          - --default-backend-service=$(POD_NAMESPACE)/default-http-backend
          - --enable-ssl-passthrough
          # - --default-ssl-certificate=$(POD_NAMESPACE)/tls-certificate
        volumeMounts:
          - name: tls-dhparam-vol
            mountPath: /etc/nginx-ssl/dhparam
      volumes:
        - name: tls-dhparam-vol
          secret:
            secretName: tls-dhparam

请注意守护程序集和节点选择器。还有

hostNetwork=true

，这样我的kubernetes节点将打开80和443以侦听路由）

所以我试图去，毫不奇怪，什么都没有。我刚刚得到

默认后端-404

页面。我需要入口规则

3）因此，我创建了一个

ingres

规则，如下所示：

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: hub
  annotations:
    kubernetes.io/ingress.class: "nginx"
    ingress.kubernetes.io/ssl-redirect: "true"
    nginx.ingress.kubernetes.io/rewrite-target: /
    nginx.org/ssl-services: "hub"
spec:
  tls:
  - hosts:
    - foo.bar.com
    secretName: tls-dhparam
  rules:
  - host: foo.bar.com
    http:
      paths:
      - path: /
        backend:
          serviceName: hub
          servicePort: 8000

所以它工作得很好！。。。对于http。。。当我转到位于的节点时，我可以访问我的服务（集线器）并可以登录。然而，由于必须登录，因此只有强制使用https才有意义

所以，我的问题是，当我将浏览器切换到时，我最终会看到一个

默认后端-404

页面

查看上述证书，我发现它是由kubernetes创建的：

Kubernetes Ingress Controller Fake Certificate
Self-signed root certificate

检查我的秘密：

$ kubectl -n ingress-nginx get secrets
NAME                                       TYPE                                  DATA      AGE
default-token-kkd2j                        kubernetes.io/service-account-token   3         12m
nginx-ingress-serviceaccount-token-7f2sq   kubernetes.io/service-account-token   3         12m
tls-dhparam                                Opaque                                1         8m

我做错了什么？

在您的示例中，您的

入口

似乎没有明确声明

元数据.命名空间

。如果它在

默认

命名空间中结束，而

tls dhparam

Secret

在

ingres nginx

命名空间中，这将是问题所在。

Ingress

es的tls机密应该与

Ingress

在同一名称空间中，问题是我使用pem文件似乎不起作用（并且没有与之相关的明显错误）。通过以下方式切换到tls证书/密钥

kubectl create secret tls tls-certificate --key my.key --cert my.cer

成功了