Comment faire pour forcer le SSL pour Kubernetes Pénétration sur GKE
Est-il un moyen de forcer le SSL de mise à niveau pour les connexions entrantes sur la voie d'équilibrage de charge? Ou, si cela n'est pas possible avec, puis-je désactiver le port :80? Je n'ai pas trouvé une bonne documentation des pages qui décrit une telle option dans le fichier YAML. Merci beaucoup à l'avance!
- Qu'entendez-vous par "SSL de mise à niveau pour les connexions entrantes". Pourriez-vous préciser? Aussi, pourriez-vous donner des précisions sur ce que vous essayez de faire?
- Je voudrais rediriger les connexions http port 80 vers le port https 443, idéalement à l'Kubernetes la Pénétration d'équilibrage de la charge, si cela est possible. Si non, quelle serait la meilleure stratégie de charge - équilibre à la fois 80 et 443, et de mettre un haproxy derrière la LB à faire avant?
Vous devez vous connecter pour publier un commentaire.
https://github.com/kubernetes/ingress-gce#frontend-https
Vous pouvez bloquer HTTP via l'annotation
kubernetes.io/ingress.allow-http: "false"
ou de redirection HTTP vers HTTPS, en spécifiant une coutume backend. Malheureusement, GCE ne gère pas de redirection ou de réécriture à la L7 couche directement pour vous, encore. (voir https://github.com/kubernetes/ingress-gce#ingress-cannot-redirect-http-to-https)L'annotation a changé:
Ici est l'annotation de changement de PR:
https://github.com/kubernetes/contrib/pull/1462/files
Si vous n'êtes pas lié à la GCLB Pénétration Contrôleur, vous pourriez avoir un coup d'oeil à la Nginx Pénétration Contrôleur. Ce contrôleur est différent de l'intégré dans de multiples façons. Tout d'abord, vous devez déployer et à gérer par vous-même. Mais si vous êtes prêt à le faire, vous obtenez l'avantage de ne pas selon la CME LB (20$/mois) et obtenir de l'aide pour IPv6/websockets.
La la documentation états:
Récemment publié 0.9.0-bêta.3 est livré avec une annotation supplémentaire pour explicitement l'application de cette redirection:
nginx.ingress.kubernetes.io/force-ssl-redirect: "true"
et de son travail. Pour la liste complète de l'annotation, veuillez visiter github.com/kubernetes/ingress-nginx/blob/master/docs/user-guide/...