Jak wymusić SSL dla Kubernetes Ingress na GKE

Question

Czy istnieje sposób na wymuszenie aktualizacji protokołu SSL dla połączeń przychodzących w module równoważenia obciążenia wejściowego? Lub jeśli nie jest to możliwe, czy mogę wyłączyć port: 80? Nie znalazłem dobrej strony dokumentacji, która określa taką opcję w pliku YAML. Z góry dziękuję!

Answer 1

https://github.com/kubernetes/ingress-gce#frontend-https

można zablokować poprzez HTTP adnotacji kubernetes.io/ingress.allow-http: "false" lub przekierowania HTTP HTTPS, określając własny backend. Niestety GCE nie obsługuje jeszcze przekierowania ani przepisywania w warstwie L7 bezpośrednio dla Ciebie.

Answer 2

Adnotacja zmieniła:

apiVersion: extensions/v1beta1 
kind: Ingress 
metadata: 
    name: test 
    annotations: 
    kubernetes.io/ingress.allow-http: "false" 
spec: 
... 

Oto PR zmiana adnotacji: https://github.com/kubernetes/contrib/pull/1462/files

Answer 3

Jeśli nie są zobowiązane do GCLB Ingress kontrolera można rzucić okiem na Nginx Ingress Controller. Ten kontroler różni się od wbudowanego na wiele sposobów. Przede wszystkim musisz wdrożyć i zarządzać samodzielnie. Ale jeśli chcesz to zrobić, otrzymasz korzyści nie zależne od GCE LB (20 $/miesiąc) i otrzymania wsparcia dla IPv6/websockets.

W documentation stany:

Domyślnie kontroler przekierowania (301) do TLS HTTPS, jeśli włączona jest do tego ingresu. Jeśli chcesz wyłączyć to zachowanie na całym świecie, możesz użyć ssl-redirect: "false" w mapie konfiguracji NGINX.

Niedawno wydany 0.9.0-beta.3 pochodzi z dodatkową adnotacją o wyraźnie egzekwowania tej przekierowanie:

Siła przekierowanie do SSL za pomocą adnotacji ingress.kubernetes.io/force-ssl-redirect