kubernetes - 使用 ALB 重定向到外部资源的入口

Question

我在集群上运行了一些服务，并且 ALB 工作正常。但是我有一个 CloudFront 分布，由于一些内部因素，我想使用集群作为入口点。因此，我正在尝试添加一个入口，以根据默认规则或命名主机将请求重定向到 CloudFront 分配，两者都可以工作。
我尝试了两种不同的方法，但没有骰子:
创建外部名称和入口:

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: test-ingress
  namespace: default
annotations:
  kubernetes.io/ingress.class: alb
  alb.ingress.kubernetes.io/scheme: "internet-facing"
  alb.ingress.kubernetes.io/listen-ports: '[{"HTTP":80,"HTTPS": 443}]'
  alb.ingress.kubernetes.io/certificate-arn: <my-cert-arn>
  alb.ingress.kubernetes.io/actions.ssl-redirect: '{"Type": "redirect", "RedirectConfig": { 
  "Protocol": "HTTPS", "Port": "443", "StatusCode": "HTTP_301"}}'
  alb.ingress.kubernetes.io/group.name: <my-group-name>
spec:
  rules:
    - host: test.my-host.net
      HTTP:
        paths:
          - backend:
              serviceName: test
              servicePort: use-annotation
            path: /
---
apiVersion: v1
kind: Service
metadata:
  name: test
spec:
  type: ExternalName
  externalName: test.my-host.net

我还尝试使用 ALB Ingress v2 上的注释创建带有重定向的入口，就像文档一样:

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: test-ingress
  annotations:
    kubernetes.io/ingress.class: alb
    alb.ingress.kubernetes.io/scheme: "internet-facing"
    alb.ingress.kubernetes.io/listen-ports: '[{"HTTP":80,"HTTPS": 443}]'
    alb.ingress.kubernetes.io/certificate-arn: <my-cert-arn>
    alb.ingress.kubernetes.io/actions.ssl-redirect: '{"Type": "redirect", "RedirectConfig": { 
"Protocol": "HTTPS", "Port": "443", "StatusCode": "HTTP_301"}}'
    alb.ingress.kubernetes.io/actions.redirect-to-eks: >
      {"type":"redirect","redirectConfig":{"host":"my- 
 dist.cloudfront.net","path":"/","port":"443",
"protocol":"HTTPS","query":"k=v","statusCode":"HTTP_302"}}
    alb.ingress.kubernetes.io/group.name: <my-group-name>
spec:
  rules:
    - host: <my-host-name>
      HTTP:
        paths:
          - backend:
              serviceName: ssl-redirect
              servicePort: use-annotation

Answer 1

无法使用 ExternalName 的原因服务类型是因为它没有端点。 ALB 只能将目标设置为 instance或 ip ( documentation ) 所以 ExternalName不是这里的选择。
您可以使用注释创建重定向，但这有点棘手。 第一 ，您至少需要两个具有公共(public)访问权限的子网 alb.ingress.kubernetes.io/subnets注解。可以自动发现子网，但我不知道它是否可以从分配给 EKS 集群的所有子网中选择公共(public)子网，所以最好明确设置。 第二 , 你需要使用 alb.ingress.kubernetes.io/actions.<ACTION NAME>注释 ( documentation )，其中 <ACTION NAME>必须匹配 serviceName从入口规则。 第三 ，您需要指定Host在重定向配置中，否则它将是 host来自入口 spec .
这是一个工作示例:

apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: test-alb
  annotations:
    kubernetes.io/ingress.class: alb
    alb.ingress.kubernetes.io/scheme: "internet-facing"
    alb.ingress.kubernetes.io/subnets: "public-subnet-id1,public-subnet-id2"
    alb.ingress.kubernetes.io/listen-ports: '[{"HTTP":80,"HTTPS": 443}]'
    alb.ingress.kubernetes.io/actions.redirect: '{"Type": "redirect", "RedirectConfig": { "Protocol": "HTTPS", "Host":"example.com", "port":"443", "StatusCode": "HTTP_301"}}'
spec:
  rules:
    - host: alb-test.host.name
      http:
        paths:
          - backend:
              serviceName: redirect
              servicePort: use-annotation

您的 ssl-redirect注释几乎是正确的，只是它重定向到 <my-host-name> .我建议您使用 Web 控制台(在链接中更改区域) https://console.aws.amazon.com/ec2/v2/home?region=eu-central-1#LoadBalancers:sort=loadBalancerName查看生成的重定向规则并调试其他选项。
还有其他选项可以解决这个问题，使用 nginx 的专用部署例如。或者您可以使用 nginx ingress controller ，根据我的经验，使用它设置重定向要容易得多。