我已经在rancher中添加了一个ssl cert secret,并在helm chart中配置了入口文件,如下所示:
{{- $fullName := include "api-chart.fullname" . -}}
{{- $ingressPath := .Values.ingress.path -}}
{{- $apiIngressPath := .Values.ingress.apiPath -}}
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: {{ $fullName }}
labels:
app.kubernetes.io/name: {{ include "api-chart.name" . }}
helm.sh/chart: {{ include "api-chart.chart" . }}
app.kubernetes.io/instance: {{ .Release.Name }}
app.kubernetes.io/managed-by: {{ .Release.Service }}
annotations:
kubernetes.io/ingress.class: nginx
{{- with .Values.ingress.annotations }}
{{ toYaml . | indent 4 }}
{{- end }}
spec:
tls:
- hosts:
- {{ .Values.ingress.host }}
secretName: {{ .Values.ssl.certSecretName }}
rules:
- host: {{ .Values.ingress.host }}
http:
paths:
- path: {{ $ingressPath }}
backend:
serviceName: {{ $fullName }}
servicePort: 80
- path: {{ $apiIngressPath }}
backend:
serviceName: {{ $fullName }}
servicePort: 8080
然而,当访问https站点时,仍然会收到默认的伪造的Nginx证书。Nginx服务器是否也需要更改?如果是这样,那么在两个地方添加证书信息似乎很奇怪。如果不是这样,还有什么可能是错误的?kubectl describe ingress
给出以下响应:
Name: my-test-install-app72-project-jupyter-labs
Namespace: default
Address: 10.240.0.4
Default backend: default-http-backend:80 (<none>)
Rules:
Host Path Backends
---- ---- --------
project-jupyter-labs-2.company.com
/test72-new-user my-test-install-app72-project-jupyter-labs:80 (10.244.4.20:8888)
/base-url my-test-install-app72-project-jupyter-labs:8080 (10.244.4.20:8080)
Annotations:
field.cattle.io/publicEndpoints: [{"addresses":["10.240.0.4"],
"port":80,
"protocol":"HTTP",
"serviceName":"default:my-test-install-app72-project-jupyter-labs",
"ingressName":"default:my-test-install-app72-project-jupyter-labs",
"hostname":"project-jupyter-labs-2.company.com",
"path":"/test72-new-user",
"allNodes":false},
{"addresses":["10.240.0.4"],
"port":80,
"protocol":"HTTP",
"serviceName":"default:my-test-install-app72-project-jupyter-labs",
"ingressName":"default:my-test-install-app72-project-jupyter-labs",
"hostname":"project-jupyter-labs-2.company.com",
"path":"/base-url",
"allNodes":false}]
kubernetes.io/ingress.class: nginx
meta.helm.sh/release-name: my-test-install-app72
meta.helm.sh/release-namespace: default
nginx.ingress.kubernetes.io/proxy-body-size: 2G
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal CREATE 81s nginx-ingress-controller Ingress default/my-test-install-app72-project-jupyter-labs
Normal CREATE 81s nginx-ingress-controller Ingress default/my-test-install-app72-project-jupyter-labs
Normal UPDATE 23s (x2 over 23s) nginx-ingress-controller Ingress default/my-test-install-app72-project-jupyter-labs
Normal UPDATE 23s (x2 over 23s) nginx-ingress-controller Ingress default/my-test-install-app72-project-jupyter-labs
更新:我在访问错误日志时遇到了麻烦。看起来你需要以root用户的身份执行到容器中才能看到这些日志。但是我发现nginx.conf文件的server部分包含以下内容:
ssl_certificate_by_lua_block {
certificate.call()
}
如果我把这个修改为ssl_certifacte和ssl_certifacte_key路径,指向我手动添加到容器中的证书和密钥文件,那么它就可以工作了。上面的ssl_certificate_by_lua_block
对于入口.yaml文件来说看起来正常吗?如果是,还有什么问题?如果不是,是什么原因导致它可能没有被配置?
应用以下修补程序似乎允许为https提供正确的SSL证书:
kubectl patch ingress <app-instance-name> -p '{"spec":{"tls":[{"hosts":["project-jupyter-labs-2.company.com"], "secretName": "tls-secret-name"}]}}'
我仍然不清楚为什么这样做能解决问题。我希望能有任何可能的解释。
1条答案
按热度按时间plicqrtu1#
应用以下修补程序似乎允许为https提供正确的SSL证书:
我仍然不清楚为什么这样做能解决问题。我希望能有任何可能的解释。
如果你没有一个最小的可重复的例子,几乎不可能推导出它。
我们对生成的入口清单文件(由helm生成)、入口控制器版本及其配置(包括安装方式)以及底层Kubernetes环境一无所知。
几点提示
请记住,入口/密钥资源是命名空间对象,因此在您的情况下,入口应该引用来自相同命名空间的密钥。
我可以向你保证,你的情况可以在健康的入口控制器设置中重现,每当我在正确的名称空间中创建由入口引用的秘密时,它会被控制器自动检测到,添加到本地存储,并进行动态重新配置。
最后我认为你的问题更适合直接报告Nginx入口控制器github的项目:https://github.com/kubernetes/ingress-nginx/issues/new