PRE*_*SAL 3 kubernetes client-go
我有一个 kubernetes pod 配置为支持 https 的网络服务器。该 Pod 提供 TLS 握手错误日志。当我们尝试在浏览器上访问负载均衡器服务 IP 时,会出现错误 - 连接不安全,继续不安全。为了安全连接,我们将一个自签名证书作为秘密安装到 Pod 卷中。如果我们删除对 https 的支持,一切都会正常。有人可以建议这种行为的可能原因是什么吗?
默认情况下,https 连接仅存在于浏览器和负载均衡器之间。负载均衡器使用纯 http 与 pod 进行通信。
浏览器-------------->| 负载均衡器|-----------> POD
https http
在这种情况下,证书需要存在于负载均衡器上,而不是 POD 上,并且您应该在 Pod 上禁用 HTTPS。
负载均衡器可以配置为使用 https 与 POD 通信,但它将是不同的 https 连接:
浏览器-------------->| 负载均衡器|-----------> POD
https https
这里需要两个证书,一个在负载均衡器上,一个在 Pod 本身上。
最后一个选项是直通 SSL,但默认情况下未启用:
负载均衡器
浏览器--------------|--------------|------------> POD
https
这里证书应该放置在 Pod 上。
配置 HTTPS 的方式取决于所使用的负载均衡器、云提供商等。如果您使用 Ingress,此页面可能会有所帮助:Kubernetes:使用带有 SSL/TLS 终止和 HTTP/2 的 Ingress
旁注:使用自签名证书时,浏览器总是抱怨连接不安全(除非您将它们配置为不这样做)。
| 归档时间: |
|
| 查看次数: |
9422 次 |
| 最近记录: |