我有一个负责启动公民的Spring Boot应用程序,以及一个配置了ssl-passthrough的NGINX Ingress Controller ,用于将我的集群暴露给外部。
当我做:
https://myhostname.com/citizens
它完美地工作。这是我正在使用的配置:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: nginx-ingress
namespace: default
annotations:
kubernetes.io/ingress.class: nginx
nginx.ingress.kubernetes.io/ssl-passthrough: "true"
nginx.ingress.kubernetes.io/ssl-redirect: "true"
spec:
rules:
- host: myhostname.com
http:
paths:
- path: /
backend:
serviceName: myservice
servicePort: 443
但我想有这样的东西:
https://myhostname.com/myservice/citizens
这将类似于kubernetes文档中描述的math简单扇出方法:
https://kubernetes.io/docs/concepts/services-networking/ingress/#simple-fanout
因此,在我的Spring应用程序中,我已经配置了contextPath,因此在本地时,我可以执行以下操作:
https://localhost:8080/myservice/citizens
我得到理想的结果
对于NGINX,我设置了以下内容:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: nginx-ingress
namespace: default
annotations:
kubernetes.io/ingress.class: nginx
nginx.ingress.kubernetes.io/ssl-passthrough: "true"
nginx.ingress.kubernetes.io/ssl-redirect: "true"
nginx.ingress.kubernetes.io/rewrite-target: /
spec:
rules:
- host: myhostname.com
http:
paths:
- path: /myservice
backend:
serviceName: myservice
servicePort: 443
我究竟做错了什么?
解决方案:
我已经进行了一些研究,但我已经意识到,尝试通过ssl-passthrough实现的方法是不可能的,因为代理是盲目的,并且它不知道将流量路由到何处的路径。
因此,解决方案将是使用子域而不是路径,因为有了SNI协议(protocol),NGINX Controller 将知道客户端试图连接到哪个主机名。
最终解决方案将类似于this
最佳答案
如果您的后端需要整个路径/myservice/citizens,则可以使用它将其指向不带rewrite-target指令的服务,因为它是only dictates how URIs are going to be treated in the backend:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: nginx-ingress
namespace: default
annotations:
kubernetes.io/ingress.class: nginx
nginx.ingress.kubernetes.io/ssl-passthrough: "true"
nginx.ingress.kubernetes.io/ssl-redirect: "true"
spec:
rules:
- host: myhostname.com
http:
paths:
- path: /myservice/citizens
backend:
serviceName: myservice
servicePort: 443
请注意,这假设您的服务能够将请求重定向到
8080,这是您的后端侦听端口,因此它必须与之匹配。