我有一个 kubernetes pod 配置为支持 https 的网络服务器。此 pod 提供 TLS 握手错误日志。当我们尝试在浏览器上访问负载均衡器服务 IP 时,它会给出错误 - 连接不安全进入不安全。为了安全连接,我们安装了一个自签名证书作为 pod 卷的秘密。如果我们取消对 https 的支持,一切正常。有人可以建议这种行为的可能原因是什么。
问问题
5028 次
1 回答
3
默认情况下,仅在浏览器和负载均衡器之间存在 https 连接。负载均衡器使用纯 http 与 pod 通信。
浏览器-------------->| 负载均衡器|-----------> POD
https http
在这种情况下,证书需要存在于负载均衡器上,而不是 POD 上,并且您应该在 pod 上禁用 HTTPS。
负载均衡器可以配置为使用 https 与 POD 通信,但它将是不同的 https 连接:
浏览器-------------->| 负载均衡器|-----------> POD
https https
这里需要两个证书,一个在负载均衡器上,一个在 pod 本身上。
最后一个选项是直通 SSL,但默认情况下未启用:
负载均衡
器浏览器--------------|--------------|-----------> POD
https
此处证书应放置在 pod 上。
配置 HTTPS 的方式取决于使用的负载均衡器、云提供商等。如果您使用 Ingress,此页面可能会有所帮助:Kubernetes:使用带有 SSL/TLS 终止和 HTTP/2 的 Ingress
旁注:浏览器在使用自签名证书时总是抱怨连接不安全(除非您将它们配置为不这样做)。
于 2020-01-09T10:26:31.370 回答