使用https时GKE插入删除websocket连接

Question

我有一个输入(默认的GKE )，它在我的服务之前处理所有的SSL。我的服务之一是WebSocket服务(python )。当我使用LoadBalancer公开服务而不是传递时，使用ws://我们可以正常工作。相反，当我使用NodePort公开它并通过入口时，我经常看到连接在下降，即使没有客户端连接。下面是高速公路日志：

WARNING:autobahn.asyncio.websocket.WebSocketServerProtocol:dropping connection to peer tcp:10.156.0.58:36868 with abort=False: None

当我使用wss://客户端连接时，连接是成功的，但断开连接每隔几秒钟发生一次(无法获得一致的数字)。虽然我不认为这是相关的，但我将GCE中相关后端服务的超时更改为3600秒，并尝试使用clientIP和cookie赋予它会话亲和力，但似乎没有一个可以阻止掉的连接。这是我的入口定义：

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: {{ .Values.ingressName }}-ingress
  annotations:
      kubernetes.io/ingress.global-static-ip-name: {{ .Values.staticIpName }}-static-ip
  labels:
    oriient-app: "rest-api"
    oriient-system: "IPS"
spec:
  tls:
  - secretName: sslcerts
  rules:
  - host: {{ .Values.restApiHost }}
    http:
      paths:
      - backend:
          serviceName: rest-api-internal-service
          servicePort: 80
  - host: {{ .Values.dashboardHost }}
    http:
      paths:
      - backend:
          serviceName: dashboard-internal-service
          servicePort: 80
  - host: {{ .Values.monitorHost }}
    http:
      paths:
      - backend:
          serviceName: monitor-internal-service
          servicePort: 80
  - host: {{ .Values.ipsHost }}
    http:
      paths:
      - backend:
          serviceName: server-internal-ws-service
          servicePort: 80

ws服务是“服务器-内部-ws-服务”。有什么建议吗？

Answer 1

我没有解决这个问题，但我确实通过使用LoadBalancer服务公开了我的wss，并且我自己实现了WebSocket的安全层。我将证书(私钥和全链公钥- pem格式)保存为秘密，并将其挂载为卷，然后在python中使用SSLContex并将其传递给异步循环创建服务器。

要创建证书机密，请创建一个yaml：

apiVersion: v1
kind: Secret
type: tls
metadata:
  name: sslcerts
data:
  # this is base64 of your pem fullchain and private key
  tls.crt: XXX 
  tls.key: YYY

然后

kubectl apply -f [path to the yaml above]

在服务器部署中挂载秘密：

    apiVersion: apps/v1beta2
    kind: Deployment
    metadata:
      labels:
        ...
      name: server
    spec:
      replicas: {{ .Values.replicas }}
      selector:
        matchLabels:
          ...
      template:
        metadata:
          labels:
            ...
        spec:
          volumes:
          - name: wss-ssl-certificate
            secret:
              secretName: sslcerts
       containers:
        - image: ...
        imagePullPolicy: Always
        name: server
        volumeMounts:
          - name: wss-ssl-certificate
            mountPath: /etc/wss

在python代码中：

 sslcontext = ssl.SSLContext()
 sslcontext.load_cert_chain(/etc/wss/tls.crt, /etc/wss/tls.key)
 wssIpsClientsFactory = WebSocketServerFactory()
 ...        
 loop = asyncio.get_event_loop()
 coro = loop.create_server(wssIpsClientsFactory, '0.0.0.0', 9000, ssl=sslcontext)
 server = loop.run_until_complete(coro)

希望它能帮到别人