个人中心
gpt4 book ai didi

ssl - 从 Kubernetes Nginx Ingress 中的 ssl 重定向中排除特定主机

转载 作者:太空宇宙 更新时间:2023-11-03 12:57:48 24 4
gpt4 key购买 nike

我在我的 kubernetes 集群上设置了一个 Nginx 入口 Controller ,默认情况下它会为它收到的任何请求进行 https 重定向,因此 http://example.com 会自动转发到https://example.com

我现在有一个主机,我需要通过 http 而不是 https 提供服务,基本上将它排除在 ssl 重定向之外。我发现我可以在整个入口禁用 ssl 重定向,但不能针对特定主机。

我的 Ingress yaml:

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
   name: ingress
annotations:
    kubernetes.io/ingress.class: nginx
spec:
  tls:
  - hosts:
    - mysslsite.co.uk
secretName: tls-secret

rules:
 - host: my-ssl-site.co.uk
   http:
    paths:
    - path: /
      backend:
        serviceName: my-service
        servicePort: 80
 - host: my-non-ssl-site.co.uk
   http:
      paths:
      - path: /
        backend:
          serviceName: my-other-service
          servicePort: 80

我的配置图:

apiVersion: v1
kind: ConfigMap
metadata:
  labels:
    app: nginx-ingress
    chart: nginx-ingress-0.28.3
    component: controller
    heritage: Tiller
    release: nginx-ingress
  name: undercooked-moth-nginx-ingress-controller
  namespace: default
data:
  proxy-buffer-size: "512k"
  client-header-buffer-size: "512k"
  proxy-body-size: "100m"
  large-client-header-buffers: "4 512k"
  http2-max-field-size: "512k"
  http2-max-header-size: "512k"
  fastcgi_buffers: "16 16k" 
  fastcgi_buffer_size: "32k"

我尝试过的:

  1. 尝试全面关闭 ssl 重定向,并通过设置注解 nginx.ingress.kubernetes.io/ssl-redirect: "false"来设置重定向到需要 ssl 到 https 的站点的规则 并添加以下配置片段:

    nginx.ingress.kubernetes.io/configuration-snippet: |
          if ($host = 'my-ssl-site.co.uk' ) {
            rewrite ^ https://my-ssl-site.co.uk$request_uri permanent;
          }

    这确实删除了 https 重定向,但会导致需要 ssl 的网站出现太多重定向错误。

  2. 尝试根据 this answer 在 ConfigMap 中添加规则关闭 ssl 重定向并在服务器配置片段中处理条件重定向,但这仍然会导致 ssl 重定向。

  3. 尝试添加第二个入口 Controller ,以便一个可以启用 ssl 重定向,另一个可以将其关闭。我创建了 Controller ,但我认为我还需要创建第二个 nginx 入口并配置和标记将返回给每个应用程序的应用程序?当我只想从 ssl 重定向中排除集群上的一项服务时,这似乎有点矫枉过正。

有什么明显的我遗漏的吗?感觉好像添加一个简单的规则来从 ssl-redirect 中排除一个主机应该不难。

最佳答案

您可以创建两个 Ingress 对象,一个用于同一命名空间中的每个站点。

为 SSL 站点使用注解 nginx.ingress.kubernetes.io/ssl-redirect: "true"

对非 SSL 站点使用注解 nginx.ingress.kubernetes.io/ssl-redirect: "false"

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
   name: cmac-ingress
   namespace: ns1
   annotations:
    kubernetes.io/ingress.class: nginx
    nginx.ingress.kubernetes.io/ssl-redirect: "true"
spec:
  tls:
  - hosts:
    - my-ssl-site.co.uk
    secretName: testsecret-tls
  rules:
  - host: my-ssl-site.co.uk
    http:
      paths:
      - path: /
        backend: 
          serviceName: my-service
          servicePort: 80
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
   name: cmac-ingress1
   namespace: ns1
   annotations:
    kubernetes.io/ingress.class: nginx
    nginx.ingress.kubernetes.io/ssl-redirect: "false"
spec:
  tls:
  - hosts:
    - my-site.co.uk
    secretName: testsecret-tls
  rules:
  - host: my-site.co.uk
    http:
      paths:
      - path: /
        backend: 
          serviceName: my-service
          servicePort: 80

这是入口 Controller nginx.conf 文件的结果:

    ## start server my-site.co.uk
    server {
            server_name my-site.co.uk ;

            listen 80;

            set $proxy_upstream_name "-";

            listen 443  ssl http2;

            # PEM sha: ffa288482443e529d72a0984724f79d5267a2a22
            ssl_certificate                         /etc/ingress-controller/ssl/default-fake-certificate.pem;
            ssl_certificate_key                     /etc/ingress-controller/ssl/default-fake-certificate.pem;

            location / {

                    <some lines skipped>

                    if ($scheme = https) {
                            more_set_headers                        "Strict-Transport-Security: max-age=15724800; includeSubDomains";
                    }

                    <some lines skipped>

            }

    }       
    ## end server my-site.co.uk

    ## start server my-ssl-site.co.uk
    server {
            server_name my-ssl-site.co.uk ;

            listen 80;

            set $proxy_upstream_name "-";

            listen 443  ssl http2;

            # PEM sha: ffa288482443e529d72a0984724f79d5267a2a22
            ssl_certificate                         /etc/ingress-controller/ssl/default-fake-certificate.pem;
            ssl_certificate_key                     /etc/ingress-controller/ssl/default-fake-certificate.pem;

            location / {


                    <some lines skipped>

                    if ($scheme = https) {
                            more_set_headers                        "Strict-Transport-Security: max-age=15724800; includeSubDomains";
                    }

                    # enforce ssl on server side
                    if ($redirect_to_https) {

                            return 308 https://$best_http_host$request_uri;

                    }

                    <some lines skipped>

            }

    }    
    ## end server my-ssl-site.co.uk

您可以在 SSL 强制站点定义中找到额外的重定向部分:

# enforce ssl on server side
if ($redirect_to_https) {

        return 308 https://$best_http_host$request_uri;

}

关于ssl - 从 Kubernetes Nginx Ingress 中的 ssl 重定向中排除特定主机,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54350071/

24 4 0
文章推荐: python - os.system 中的变量
文章推荐: android - 连接 iPhone 和 Android 设备(同一局域网)
文章推荐: Python - 从键列表访问分层字典元素
文章推荐: c# - Crystal Reports 交叉表列之间的空间
太空宇宙
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com