确保SSL一直使用侵入到吊舱

Question

我有一个在443上为HTTPS通信服务的结束符，它使用一个具有app的CN的自签名证书，该证书与服务名app相匹配。它还在80上提供HTTP服务。

我还拥有一个在foo.com上对外公开pod的侵入对象，并使用kube-lego动态获取和配置foo.com的LetsEncrypt证书：

spec:
  rules:
  - host: foo.com
    http:
      paths:
      - backend:
          serviceName: kube-lego-gce
          servicePort: 8080
        path: /.well-known/acme-challenge/*
      - backend:
          serviceName: app
          servicePort: 80
        path: /*
  tls:
  - hosts:
    - foo.com
    secretName: app-tls-staging

这意味着存在两个级别的SSL。如果我将servicePort设置为443，以确保Google和我的pod之间的通信是加密的，端点将返回502 Server Error。是因为它不知道相信我的自我签名证书吗？是否有指定CA的方法？

一旦我把它设置为80，几分钟后，大会又开始正常工作了。

Answer 1

您要寻找的是负载均衡器<=>集群流量的“重新加密”。如果您看到这里，重新加密将被列为“未来工作”。

但是我看到这个特性被合并了：https://github.com/kubernetes/ingress/pull/519/commits

看起来您可以找到一个这里的例子，它在本文档中被描述为“后端HTTPS”：https://github.com/kubernetes/ingress/tree/master/controllers/gce#backend-https

然而，今天这个特性似乎在alpha中，因此它可能会发生变化，您可能需要创建一个alpha GKE集群(这是短暂的)来使用它。