我有一个AWS API网关和一个Ingress Nginx。
我希望我的Ingress只接受来自API网关的流量: 所以我使用了AWS API Gateway客户端证书。
我已经创建了客户端证书的秘密:
kubectl create secret generic api --from-file=api-gateway-client-certificate.crt
我的Ingress服务具有以下配置(它是TCP AWS经典ELB):
kind: Service
apiVersion: v1
metadata:
name: ingress-nginx
namespace: ingress
labels:
app: ingress-nginx
annotations:
ingress.kubernetes.io/server-alias: 'dev.ingress.website.com'
service.beta.kubernetes.io/aws-load-balancer-connection-idle-timeout: '3600'
service.beta.kubernetes.io/aws-load-balancer-proxy-protocol: "*"
spec:
type: LoadBalancer
selector:
app: ingress-nginx
ports:
- name: https
port: 443
targetPort: http
我的Ingress规则看起来像那样:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
annotations:
nginx.ingress.kubernetes.io/auth-tls-verify-client: "on"
nginx.ingress.kubernetes.io/auth-tls-secret: "default/api"
nginx.ingress.kubernetes.io/auth-tls-verify-depth: "1"
name: items
spec:
tls:
- hosts:
- dev.ingress.website.com
secretName: ingress-website-com-tls
rules:
- host: dev.ingress.website.com
http:
paths:
- backend:
serviceName: items
servicePort: 80
path: "/items"
但它不起作用。 我可以从浏览器访问dev.ingress.website.com/items:只有API网关才能访问。
这是nginx.conf的输出:
location /items {
if ($scheme = https) {
more_set_headers "Strict-Transport-Security: max-age=15724800; includeSubDomains;";
}
port_in_redirect off;
set $proxy_upstream_name "default-items-80";
set $namespace "default";
set $ingress_name "items";
set $service_name "items";
# enforce ssl on server side
if ($redirect_to_https) {
return 308 https://$best_http_host$request_uri;
}
proxy_set_header Host $best_http_host;
# Pass the extracted client certificate to the backend
proxy_set_header ssl-client-cert "";
proxy_set_header ssl-client-verify "";
proxy_set_header ssl-client-dn "";
ssl-client-cert和ssl-client-verify似乎是空的。
所以我猜是因为那个?
但我无法弄清楚原因。 有没有人有关于如何解决它的见解?
提前致谢! 学家
答案 0 :(得分:0)
我在Azure中有相同的场景,所以我最终使用内部LB运行入口...将Api GW放在同一个VNET中,以便我可以访问。我认为无论如何这都是一个开销。