安全 mTLS 健康检查端点上的 Kubernetes 活跃度探测

Question

我需要一些帮助来解决特定的 Kubernetes + mTLS 问题。

如何使 Kubernetes active 探针在安全 https mTLS 健康检查端点上工作？

我的应用程序是一个 Web 应用程序，其中运行状况检查端点通过特定端口公开，该端口与其他业务端点相同。

根据安全、审计和合规性审查，我必须通过 mTLS 保护我的所有端点，甚至是简单无害的运行状况检查端点。

根据安全、审计和合规性审查，我无法公开任何其他端口，例如在 https 端口 1 上处理我的业务端点，但在 http 端口 2 上处理运行状况。

因此，这是失败的并将我的应用程序标记为关闭(因为它是通过简单的 http，端点是 https)

          livenessProbe:
            httpGet:
              path: /health
              port: 8080
              scheme: HTTP
            initialDelaySeconds: 10
            periodSeconds: 10

只是为了在测试期间确认，我们禁用了 https 和 mTLS，启用了普通的旧 http，一切都运行良好，但我们根本无法做到这一点。

请问这个问题如何解决？

谢谢。

Answer 1

您可以尝试将方案:HTTP 更改为 HTTPS 吗？

活跃度探针:http获取:路径:/健康端口:8080方案:HTTPS初始延迟秒数:10周期秒:10

如果 schema 字段设置为 HTTPS，则 kubelet 会发送 HTTPS 请求，跳过证书验证。