带有AGIC和应用网关的AKS

Question

我有一个AKS集群的附加AGIC启用(将尝试将其转换为基于Helm的AGIC在不久的将来)。目前，我在这个集群上有一个应用程序，该应用程序设置为application。目前，这在80端口上工作得很好。

如果我想启用SSL，是否只需要在App中添加证书，然后在部署中引用该证书？(例子取自https://thewindowsupdate.com/2021/10/19/what-does-it-mean-for-the-application-gateway-ingress-controller-agic-to-assume-full-ownership/

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: aspnetapp
  annotations:
    kubernetes.io/ingress.class: azure/application-gateway
    appgw.ingress.kubernetes.io/appgw-ssl-certificate: <name of your certificated added to Application Gateway>
    appgw.ingress.kubernetes.io/ssl-redirect: "true"
spec:
  rules:
  - http:
      paths:
      - path: /
        backend:
          serviceName: aspnetapp
          servicePort: 80

尽管服务端口设置为上面的80，App会自动应用TLS吗？以上的服务端口是80还是443？或者因为设置了SSL重定向，这不重要吗？另外，这会自动加密哪些方面？

• 外部->应用程序GW？
• 应用程序GW ->侵入？

另外，我是否还需要应用程序GW外部的另一个证书？还是我只需要一张证书？

Answer 1

AGIC将创建：

• 2个侦听器: HTTP位于端口80，HTTPS位于端口443。HTTPS侦听器将使用来自appgw.ingress.kubernetes.io/appgw-ssl-certificate的SSL证书进行配置。
• 2路由规则:一条将http侦听器流量重定向到https侦听器。将将https侦听器配置为将后端定位在AKS上。

默认情况下，AGIC将执行TLS终止，因此app网关和aks集群之间的通信将使用HTTP (而不是HTTPS)协议。配置的端口将是在服务的targetPort中配置的端口。

另外，您应该在此之前看到此警告：

extensions/v1beta1 Ingress is deprecated in v1.14+, unavailable in v1.22+; use networking.k8s.io/v1 Ingress

您应该更新AGIC以使用最新版本，并将您的清单更改为使用networking.k8s.io/v1入侵：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: aspnetapp
  annotations:
    kubernetes.io/ingress.class: azure/application-gateway
    appgw.ingress.kubernetes.io/ssl-redirect: "true"
    appgw.ingress.kubernetes.io/appgw-ssl-certificate: "<name of your certificate added to Application Gateway>"
spec:
  rules:
...