AWS上的Kubernetes：使用Nginx-ingress + cert-manager保留客户端IP

Question

我们使用此指南通过LetsEncrypt设置了带有nginx-ingress并结合cert-manager Kubernetes，以自动获取和使用SSL证书用于入口域： https ://medium.com/@maninder.bindra/auto-provisioning-of-letsencrypt- tls证书用于kubernetes，服务已部署到aks-52fd437b06b0 。 结果是，每个Ingress都定义了自己的SSL证书，该证书由cert-manager自动提供。

这一切都很好，但是有一个问题，流量的源IP地址已丢失给Pods中的应用程序。

建议使用注释来应用于nginx-ingress控制器服务service.beta.kubernetes.io/aws-load-balancer-backend-protocol: '*' 。 这具有保留源IP地址的作用。 但是，这样做会破坏SSL：

An error occurred during a connection to {my.domain.com}. SSL received a record that exceeded the maximum permissible length. Error code: SSL_ERROR_RX_RECORD_TOO_LONG

我的头开始旋转。 有谁知道解决这个问题的任何方法（在我看来这是一个普遍的要求）？

入口配置：

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: my-http-ingress
  annotations:
    kubernetes.io/ingress.class: nginx
    certmanager.k8s.io/cluster-issuer: letsencrypt-prod
spec:
  rules:
  - host: my.host.com
    http:
      paths:
      - path: /
        backend:
          serviceName: my-http-service
          servicePort: 80
  tls:
  - hosts:
    - "my.host.com"
    secretName: malcolmqa-tls

Answer 1

正如@dom_watson在评论中提到的那样，将参数controller.service.externalTrafficPolicy=Local添加到Helm安装配置解决了该问题，因为Local值保留了客户端源IP，因此网络流量将到达Kubernetes集群中的目标Pod。 在Kubernetes官方指南中找到更多信息。

Answer 2

helm upgrade my-nginx stable/nginx-ingress --set rbac.create=true --set controller.service.externalTrafficPolicy=Local

AWS上的Kubernetes：使用Nginx-ingress + cert-manager保留客户端IP

问题描述

2 个解决方案

解决方案1
2 已采纳

解决方案2
-1 2019-07-29 09:50:14

AWS上的Kubernetes：使用Nginx-ingress + cert-manager保留客户端IP

问题描述

2 个解决方案

解决方案1 2 已采纳

解决方案2 -1 2019-07-29 09:50:14

解决方案1
2 已采纳

解决方案2
-1 2019-07-29 09:50:14