nis*_*yal 2 docker kubernetes mtls
我在 k8s 上托管了一个 Spring Boot 应用程序,并在应用程序本身上强制执行了 mTLS。通过在 Ingress 级别执行 SSL 终止,然后再次将证书转发到 springboot pod,我可以在连接上执行 mTLS。
问题是,Liveness 和 Readiness 探测器目前不确定如何在就绪/活跃度探测器中发送证书?
任何帮助,将不胜感激。
从配置探针的官方文档中 :
如果 scheme 字段设置为 HTTPS,kubelet 会发送 HTTPS 请求,跳过证书验证。
这是清单的样子:
apiVersion: v1
kind: Pod
metadata:
labels:
run: nginx
name: alive-n-ready-https
spec:
containers:
- name: nginx
image: viejo/nginx-mockit
livenessProbe:
httpGet:
path: /
port: 443
scheme: HTTPS
readinessProbe:
httpGet:
path: /
port: 443
scheme: HTTPS
虽然没有方案,但探测会因400(错误请求)而失败,因为您正在向需要 https 的端点发送 http 数据包:
10.132.15.199 - - [27/May/2020:18:10:36 +0000] "GET / HTTP/1.1" 400 271 "-" "kube-probe/1.17"
使用scheme: HTTPS,它将成功:
10.132.15.199 - - [27/May/2020:18:26:28 +0000] "GET / HTTP/2.0" 200 370 "-" "kube-probe/1.17"
| 归档时间: |
|
| 查看次数: |
1578 次 |
| 最近记录: |