Comment faire pour forcer le SSL pour Kubernetes Pénétration sur GKE

Est-il un moyen de forcer le SSL de mise à niveau pour les connexions entrantes sur la voie d'équilibrage de charge? Ou, si cela n'est pas possible avec, puis-je désactiver le port :80? Je n'ai pas trouvé une bonne documentation des pages qui décrit une telle option dans le fichier YAML. Merci beaucoup à l'avance!

  • Qu'entendez-vous par "SSL de mise à niveau pour les connexions entrantes". Pourriez-vous préciser? Aussi, pourriez-vous donner des précisions sur ce que vous essayez de faire?
  • Je voudrais rediriger les connexions http port 80 vers le port https 443, idéalement à l'Kubernetes la Pénétration d'équilibrage de la charge, si cela est possible. Si non, quelle serait la meilleure stratégie de charge - équilibre à la fois 80 et 443, et de mettre un haproxy derrière la LB à faire avant?
InformationsquelleAutor Simon Heinzle | 2016-05-03
  1. 36

    https://github.com/kubernetes/ingress-gce#frontend-https

    Vous pouvez bloquer HTTP via l'annotation kubernetes.io/ingress.allow-http: "false" ou de redirection HTTP vers HTTPS, en spécifiant une coutume backend. Malheureusement, GCE ne gère pas de redirection ou de réécriture à la L7 couche directement pour vous, encore. (voir https://github.com/kubernetes/ingress-gce#ingress-cannot-redirect-http-to-https)

    • Un grand merci également pour le lien! Est de la redirection d'une fonctionnalité prévue?
    • Est-ce la raison pourquoi si je retourne 301 dans mon nginx HTTP bloc de serveur HTTPS, il en résulte une 301 de la boucle.
    • Des ressources sont disponibles qui permettrait d'élaborer sur la façon d'utiliser effectivement un personnalisé backend pour effectuer la redirection? Ou pouvez prolonger votre réponse sur cette partie? Mon application n'est pas en cours d'exécution sur Apache/nginx l'ajout d'un tel service est d'une pièce supplémentaire du puzzle, et je ne peux pas comprendre comment acheminer les choses correctement.
    • href="https://github.com/kubernetes/contrib/blob/21530358618d6122178963240139cb0e106064a4/ingress/echoheaders-redirect/nginx.conf#L20" >github.com/kubernetes/contrib/blob/.... L'ensemble de exemple devrait fonctionner, envoyer une demande avec des "X-Forwarded-Proto: http": 80
    • Cet exemple fonctionne, je l'ai essayé sur. Mon point est que si la demande n'est pas fondée sur un serveur web qui peut être bien configuré une redirection, il y a sûrement aussi une façon de se brancher dans un autre mini serveur web Pod dans la configuration afin qu'il prenne soin de fixer le manque de support natif pour la redirection. Ce matin, j'en suis venu à penser NodePorts etc (quelque chose que je n'ai pas vraiment encore pleinement compris sur K8s) et il se pourrait que j'ai compris comment le faire exactement ce dont j'ai besoin... mais je ne pouvais pas tester encore. Si j'arrive à résoudre ce que je vais le lien de la réponse ici, trop.
    • J'ai été capable de trouver la solution pour mes propres besoins (et de comprendre comment brancher le Pod), publié dans stackoverflow.com/a/49750913/2745865
    • via cet article digitalocean.com/community/questions/... je comprends comment redirection HTTP vers HTTPs à l'aide de nginx. Mais nginx conf demander un certificat ssl emplacement du fichier. Dans mon cas, je suis en utilisant des BPC certificats gérés. Je n'ai aucune idée de ce que sera nginx fichier conf avec GCP géré certificats.

    InformationsquelleAutor Prashanth B
  2. 13

    L'annotation a changé:

    apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: test
  annotations:
    kubernetes.io/ingress.allow-http: "false"
spec:
...

    Ici est l'annotation de changement de PR:
    https://github.com/kubernetes/contrib/pull/1462/files

    InformationsquelleAutor mlazarov
  3. 10

    Si vous n'êtes pas lié à la GCLB Pénétration Contrôleur, vous pourriez avoir un coup d'oeil à la Nginx Pénétration Contrôleur. Ce contrôleur est différent de l'intégré dans de multiples façons. Tout d'abord, vous devez déployer et à gérer par vous-même. Mais si vous êtes prêt à le faire, vous obtenez l'avantage de ne pas selon la CME LB (20$/mois) et obtenir de l'aide pour IPv6/websockets.

    La la documentation états:

    Par défaut, le contrôleur des redirections (301) HTTPS si TLS est activé pour que la pénétration . Si vous souhaitez désactiver ce comportement à l'échelle mondiale, vous
    pouvez utiliser ssl-redirect: "false" dans la config NGINX carte.

    Récemment publié 0.9.0-bêta.3 est livré avec une annotation supplémentaire pour explicitement l'application de cette redirection:

    Vigueur de redirection de SSL à l'aide de l'annotation ingress.kubernetes.io/force-ssl-redirect

    InformationsquelleAutor Fabian Dörk