Как завершить HTTPS-трафик непосредственно в контейнере Kubernetes

Question

Я настроил серверы внутри контейнеров Kubernetes, которые использовали HTTP или завершили HTTPS на входном контроллере.Можно ли завершить трафик HTTPS (или, в более общем случае, TLS) снаружи кластера непосредственно в контейнере, и как будет выглядеть конфигурация в этом случае?

Это для локального кластера Kubernetes, который был настроен с kubeadm (с Flannel в качестве плагина CNI).Если Kubernetes Service будет настроен с externalIPs 1.2.3.4 (где my-service.my-domain разрешается в 1.2.3.4) для доступа к сервису из-за пределов кластера в https://my-service.my-domain, скажем, как веб-служба, работающая внутри контейнера, может привязаться к адресу1.2.3.4 и как клиент может проверить сертификат сервера для 1.2.3.4, когда вместо IP-адреса контейнера (FWIK) используется локальный IP-адрес?В настоящее время я не понимаю, как это можно сделать.

ОБНОВЛЕНИЕ В настоящее время я понимаю, что при использовании Ingress HTTPS-трафик будет прекращаться на входном контроллере (то есть на "края кластера) и дальнейшая связь внутри кластера с резервным контейнером будет незашифрованной.Что мне нужно, так это зашифрованная связь на всем пути к контейнеру (как снаружи, так и внутри кластера).

Answer 1

Полагаю, вам нужны прокси-серверы Istio, с основной целью аутентификации, авторизации и шифрования связи между сервисами.

Итак, вам нужна сетка с аутентификацией mTLS , также известный как аутентификация между сервисами.

Визуально, Служба A - это ваша служба Ingress, а Служба B - это служба для контейнера HTTP

Итак, вы завершаете внешний TLS-трафик на входном контроллере, и он идет дальше внутри кластера с помощью шифрования Istio mTLS.

Это не совсем то, что вы просили -

прекратить HTTPS-трафик непосредственно в контейнере Kubernetes

Хотя это соответствует требованию -

То, что я хочу, это зашифрованная связь на всем пути к контейнеру