Kubernetes入口：如何启用HTTPS到后端服务

Question

与TLS配置一个典型的入口是象下面这样：

apiVersion: extensions/v1beta1 kind: Ingress metadata: name: no-rules-map spec: tls: - secretName: testsecret backend: serviceName: s1 servicePort: 80

默认情况下，负载平衡器会跟后端服务的HTTP。我可以配置Ingress，使负载均衡器和后端服务之间的通信也是HTTPS吗？

更新：

找到​​谈论启用HTTPS后端的GCE入口。从文件摘录：

“后端HTTPS

负载平衡器和您的Kubernetes服务之间的加密通信，你需要装饰服务的端口为期待HTTPS有一个alpha服务注释用于指定每预期的协议。服务端口，在将协议视为HTTPS时，入口控制器将通过HTTPS运行状况检查来组装具有HTTPS后端服务的GCP L7负载均衡器。“

不清楚负载均衡器是接受第三方签名的服务器证书，自签名还是两者。如何在负载平衡器上配置CA证书以进行后端服务器身份验证。或者它会绕过验证检查。

Answer 1

您应该为入口或负载均衡器启用SSL直通配置。 我建议你使用nginx入口和kube-lego进行SSL。

使用此组合，您可以使用ssl-passthrough配置。

Nginx ingress for k8s

kube-lego for generating SSL certificate on the fly

Guidance for enable ssl-passthrough config

Answer 2

按照的​​“后端HTTPS” 节中的说明， GCP HTTP（S）负载平衡器将建立与后端HTTPS连接，流量会被加密。没有必要在LB端配置CA证书（实际上你不能）。这意味着负载均衡器将跳过服务器证书认证。