AWS上的Kubernetes：使用Nginx-ingress + cert-manager保留客戶端IP

Question

我們使用此指南通過LetsEncrypt設置了帶有nginx-ingress並結合cert-manager Kubernetes，以自動獲取和使用SSL證書用於入口域： https ://medium.com/@maninder.bindra/auto-provisioning-of-letsencrypt- tls證書用於kubernetes，服務已部署到aks-52fd437b06b0 。 結果是，每個Ingress都定義了自己的SSL證書，該證書由cert-manager自動提供。

這一切都很好，但是有一個問題，流量的源IP地址已丟失給Pods中的應用程序。

建議使用注釋來應用於nginx-ingress控制器服務service.beta.kubernetes.io/aws-load-balancer-backend-protocol: '*' 。 這具有保留源IP地址的作用。 但是，這樣做會破壞SSL：

An error occurred during a connection to {my.domain.com}. SSL received a record that exceeded the maximum permissible length. Error code: SSL_ERROR_RX_RECORD_TOO_LONG

我的頭開始旋轉。 有誰知道解決這個問題的任何方法（在我看來這是一個普遍的要求）？

入口配置：

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: my-http-ingress
  annotations:
    kubernetes.io/ingress.class: nginx
    certmanager.k8s.io/cluster-issuer: letsencrypt-prod
spec:
  rules:
  - host: my.host.com
    http:
      paths:
      - path: /
        backend:
          serviceName: my-http-service
          servicePort: 80
  tls:
  - hosts:
    - "my.host.com"
    secretName: malcolmqa-tls

Answer 1

正如@dom_watson在評論中提到的那樣，將參數controller.service.externalTrafficPolicy=Local添加到Helm安裝配置解決了該問題，因為Local值保留了客戶端源IP，因此網絡流量將到達Kubernetes集群中的目標Pod。 在Kubernetes官方指南中找到更多信息。

Answer 2

helm upgrade my-nginx stable/nginx-ingress --set rbac.create=true --set controller.service.externalTrafficPolicy=Local

AWS上的Kubernetes：使用Nginx-ingress + cert-manager保留客戶端IP

問題描述

2 個解決方案

解決方案1
2 已采納

解決方案2
-1 2019-07-29 09:50:14

AWS上的Kubernetes：使用Nginx-ingress + cert-manager保留客戶端IP

問題描述

2 個解決方案

解決方案1 2 已采納

解決方案2 -1 2019-07-29 09:50:14

解決方案1
2 已采納

解決方案2
-1 2019-07-29 09:50:14