基于HTTPS和证书的K8s就绪性探针

Question

我在k8s上托管了一个spring引导应用程序，并在应用程序本身上强制了mTLS。我能够对连接性执行mTLS，方法是在侵入层上执行SSL终端，然后再将证书转发到springboot。

问题是，活性和准备性探测目前还不确定如何在就绪/活性探测中发送证书？

任何帮助都将不胜感激。

Answer 1

来自正式文档配置探针

如果scheme字段设置为HTTPS，kubelet将发送一个HTTPS请求，跳过证书验证。

这就是舱单的样子：

apiVersion: v1
kind: Pod
metadata:
  labels:
    run: nginx
  name: alive-n-ready-https
spec:
  containers:
  - name: nginx
    image: viejo/nginx-mockit
    livenessProbe:
      httpGet:
        path: /
        port: 443
        scheme: HTTPS
    readinessProbe:
      httpGet:
        path: /
        port: 443
        scheme: HTTPS

如果没有方案，探测就会在400 (糟糕的请求)中失败，因为您正在向期望https的端点发送一个http数据包：

10.132.15.199 - - [27/May/2020:18:10:36 +0000] "GET / HTTP/1.1" 400 271 "-" "kube-probe/1.17"

有了scheme: HTTPS，它就会成功：

10.132.15.199 - - [27/May/2020:18:26:28 +0000] "GET / HTTP/2.0" 200 370 "-" "kube-probe/1.17"