0

我有两个使用 kubeadm 的 kubernetes 集群设置,我使用 haproxy 将流量重定向和负载平衡到不同的集群。现在我想将请求重定向到每个集群的相应 api 服务器。因此,我需要解密 ssl 请求,读取“主机”HTTP-Header 并再次加密流量。我的示例 haproxy 配置文件如下所示:

frontend k8s-api-server
        bind *:6443 ssl crt /root/k8s/ssl/apiserver.pem
        mode http
        default_backend k8s-prod-master-api-server

backend k8s-prod-master-api-server
        mode http
        option forwardfor
        server master 10.0.0.2:6443 ssl ca-file /root/k8s/ssl/ca.crt

如果我现在通过 kubectl 访问 api 服务器,我会收到以下错误:

kubectl get pods
error: the server doesn't have a resource type "pods"
kubectl get nodes
error: the server doesn't have a resource type "nodes"

我认为我使用错误的证书进行解密和加密。我是否需要使用目录/etc/kubernetes/pki中的apiserver.crtapiserver.keyca.crt文件?

4

1 回答 1

2

您的设置可能需要通过客户端证书对您的 Kubernetes API 服务器进行身份验证;当您的 HAProxy 重新启动连接时,它并没有使用本地计算机上的客户端密钥和证书这样做,并且它可能会发出未经身份验证的请求。因此,它可能无权了解这些pod资源node

另一种方法是通过读取 SNI 标头并以这种方式转发流量来在 L4 代理。这样,您无需读取任何 HTTP 标头,因此您无需对流量进行解密和重新加密。这可以通过 HAProxy 完成。

于 2020-05-17T00:22:50.760 回答