堆棧內存溢出
  簡體   English   中英

用於Azure Kubernetes Service 502錯誤網關的Nginx入口控制器

[英]nginx-ingress controller for Azure Kubernetes Service 502 Bad Gateway

 原文  2019-04-25 14:53:42       azure/ nginx/ kubernetes/ kubernetes-ingress/ nginx-ingress

問題描述

我在讓Nginx-inress控制器在Azure Kubernetes服務上工作時遇到了麻煩; 每當我嘗試訪問一些公開為“服務”的Web API時,它當前都會返回502 Bad Gateway。 因為必須使用現有證書,所以我遵循https://docs.microsoft.com/zh-cn/azure/aks/ingress-own-tls來設置控制器,並遵循https://www.markbrilman.nl / 2011/08 / howto-convert-a-pfx-to-seperate-key-crt-file /從PFX生成證書和密鑰(如何從Azure密鑰保管庫導出證書)。 我使用包括中間證書和根證書以及解密的密鑰文件的證書創建了秘密的“ aks-ingress-tls”。 我有一個用於創建部署的YAML文件,一個用於公開它的服務以及一個路由到它的入口。 應用此YAML,我可以通過HTTP中的IP地址訪問服務,但是將HTTPS應用於Ingress Controller的EXTERNAL_IP始終會出現502錯誤。 我的YAML文件(已刪除): 

---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-api
spec:
  strategy:
    type: Recreate
  selector:
    matchLabels:
      app: my-api
  replicas: 3
  template:
    metadata:
      labels:
        app: my-api
    spec:
      containers:
      - name: my-api
        image: [REDACTED]/my-api:1.0
        ports:
        - containerPort: 443
        - containerPort: 80
      imagePullSecrets: 
      - name: data-creds
---
apiVersion: v1
kind: Service
metadata:
  name: my-service
  labels:
    app: my-service
spec:
  ports:
  - name: https
    port: 443
    targetPort: 443
    protocol: TCP
  - name: http
    port: 80
    targetPort: 80
    protocol: TCP
  selector:
    app: my-api
  type: LoadBalancer
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: api-ingress
  annotations:
    kubernetes.io/ingress.class: nginx
    nginx.ingress.kubernetes.io/backend-protocol: "HTTPS"
    nginx.ingress.kubernetes.io/rewrite-target: /
    nginx.ingress.kubernetes.io/ssl-redirect: "false"
spec:
  tls:
  - hosts: 
    - [REDACTED].co.uk
    secretName: aks-ingress-tls
  rules:
  - host: [REDACTED].co.uk
    http:
      paths:
      - path: /
        backend:
          serviceName: my-service
          servicePort: 443

我在主機文件中添加了一條記錄(我在Windows上,因此不能使用curl的--resolve)將[REDACTED] .co.uk映射到入口控制器的EXTERNAL_IP,因此我可以嘗試訪問它。 那是我得到錯誤的時間。 curl -v https://[REDACTED].co.uk給出以下信息: 

VERBOSE: GET https://[REDACTED].co.uk/ with 0-byte payload
curl : The request was aborted: Could not create SSL/TLS secure channel.
At line:1 char:1
+ curl -v https://[REDACTED].co.uk
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (System.Net.HttpWebRequest:HttpWebRequest) [Invoke-WebRequest], WebException
    + FullyQualifiedErrorId : WebCmdletWebResponseException,Microsoft.PowerShell.Commands.InvokeWebRequestCommand

查看入口控制器之一容器的日志: 

10.244.1.1 - [10.244.1.1] - - [25/Apr/2019:13:39:20 +0000] "GET / HTTP/2.0" 502 559 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36" 10 0.001 [default-sub360-auth-service-443] 10.244.1.254:443, 10.244.1.3:443, 10.244.1.4:443 0, 0, 0 0.000, 0.000, 0.000 502, 502, 502 e44e21c8a2f61f5137c9afdfc64c6584
2019/04/25 13:39:20 [error] 1622#1622: *1127096 connect() failed (111: Connection refused) while connecting to upstream, client: 10.244.1.1, server: [REDACTED].co.uk, request: "GET /favicon.ico HTTP/2.0", upstream: "https://10.244.1.254:443/favicon.ico", host: "[REDACTED].co.uk", referrer: "https://[REDACTED].co.uk/"
2019/04/25 13:39:20 [error] 1622#1622: *1127096 connect() failed (111: Connection refused) while connecting to upstream, client: 10.244.1.1, server: [REDACTED].co.uk, request: "GET /favicon.ico HTTP/2.0", upstream: "https://10.244.1.3:443/favicon.ico", host: "[REDACTED].co.uk", referrer: "https://[REDACTED].co.uk/"
2019/04/25 13:39:20 [error] 1622#1622: *1127096 connect() failed (111: Connection refused) while connecting to upstream, client: 10.244.1.1, server: [REDACTED].co.uk, request: "GET /favicon.ico HTTP/2.0", upstream: "https://10.244.1.4:443/favicon.ico", host: "[REDACTED].co.uk", referrer: "https://[REDACTED].co.uk/"
10.244.1.1 - [10.244.1.1] - - [25/Apr/2019:13:39:20 +0000] "GET /favicon.ico HTTP/2.0" 502 559 "https://[REDACTED].co.uk/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36" 26 0.000 [default-sub360-auth-service-443] 10.244.1.254:443, 10.244.1.3:443, 10.244.1.4:443 0, 0, 0 0.000, 0.000, 0.004 502, 502, 502 63b6ed4414bf32694de3d136f7f277aa

誰能指出我現在需要做的或要做的事情?

1 個解決方案

解決方案1
 1 已采納  2019-04-26 09:09:21

對於您的問題,入口使用HTTPS協議和端口443,因此您無需為容器公開端口443。 只需公開您的應用程序偵聽的端口。

對您來說,這意味着您只需要為容器和服務公開端口80。 您還需要刪除注釋nginx.ingress.kubernetes.io/backend-protocol: "HTTPS" ,並將servicePort值更改為80。

注意:將DNS名稱添加到證書中也很重要。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Azure Kubernetes 入口:在入口配置中使用路徑時出現 502 錯誤網關 無法在 azure kubernetes 集群上安裝 nginx-ingress 無法訪問Azure上的Kubernetes Nginx入口控制器 使用 Azure 在 Kubernetes 中創建 NGINX 入口控制器 天藍色502錯誤的網關 讓 nginx-ingress 在 Azure 中使用 UDP Azure服務總線中繼-服務重新啟動后出現502錯誤的網關 具有外部和內部路徑的kubernetes azure應用程序網關入口控制器 Azure 應用服務從 HttpClient 返回 502 bad gateway 上傳大文件 - Azure App Service 上的 502 bad gateway 錯誤
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM