Stellen Sie mithilfe von Google Container Engine SSL sicher.

Question

Ich habe einen Pod, der HTTPS-Datenverkehr auf 443 unter Verwendung eines selbstsignierten Zertifikats mit einem CN app unterstützt, das dem Servicenamen app entspricht. Es dient auch HTTP auf 80.

ich auch ein Ingress Objekt, das die Kapsel von außen auf foo.com aussetzt und ich verwende kube-lego, um dynamisch zu holen und ein LetsEncrypt Zertifikat für foo.com konfigurieren:

spec: 
    rules: 
    - host: foo.com 
    http: 
     paths: 
     - backend: 
      serviceName: kube-lego-gce 
      servicePort: 8080 
     path: /.well-known/acme-challenge/* 
     - backend: 
      serviceName: app 
      servicePort: 80 
     path: /* 
    tls: 
    - hosts: 
    - foo.com 
    secretName: app-tls-staging 

Dieses Mittel Es gibt zwei SSL-Ebenen. Wenn ich den Wert servicePort des Ingress auf 443 festlege, um sicherzustellen, dass der Datenverkehr zwischen der Google LB und meinem Pod verschlüsselt ist, gibt der Endpunkt 502 Server Error zurück. Ist das, weil es nicht weiß, meinem selbstsignierten Zertifikat zu vertrauen? Gibt es eine Möglichkeit, eine Zertifizierungsstelle anzugeben?

Sobald ich es wieder auf 80 setze, beginnt der Ingress nach ein paar Minuten wieder normal zu arbeiten.

Answer 1

Was Sie suchen, ist "Re-Verschlüsselung" für Load Balancer < => Cluster-Verkehr. Wenn Sie here sehen, wird die Neuverschlüsselung als "Zukünftige Arbeit" aufgeführt.

Aber ich sehe diese Funktion zusammengeführt wird: https://github.com/kubernetes/ingress/pull/519/commits

Es sieht aus wie Sie ein example here finden können und es als „Backend HTTPS“ in diesem Dokument beschrieben: https://github.com/kubernetes/ingress/tree/master/controllers/gce#backend-https

jedoch heute diese Funktion zu sein scheint in Alpha, so kann es Änderungen unterliegen und Sie müssen möglicherweise einen Alpha-GKE-Cluster (der kurzlebig ist) erstellen, um ihn zu verwenden.