Traefik — Проблема С Ssl При Доступе К Панели Управления Kubernetes

Я настраиваю кластер Kubernetes (используя microk8s) и менеджер сертификатов. Сертификаты отлично работают с информационной панелью traefik и другими сайтами, но у меня проблема с информационной панелью kubernates, поскольку она уже подключена к серверу через SSL (служба находится на порту 443), и в настоящее время я выставляю сертификат Let'sEncrypt.

Когда я пытаюсь получить доступ к панели мониторинга, журналы модуля панели мониторинга:

 
 apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:

name: dashboard-k8s

namespace: kube-system
spec:

entryPoints:

- websecure

routes:

- match: "Host(`k.example.com`)"

kind: Rule

services:

- name: kubernetes-dashboard

port: 443

tls:

secretName: k8s-dashboard-http-cert
 
 

IngressRoute I'm using is:

У меня нет четкого представления о том, как должен работать SSL в этом сценарии.

Было бы безопасно, чтобы информационная панель обслуживалась на 80, а SSL отключался на traefik?

Существует несколько способов открыть Dashboard через traefik.

1. Traefik завершает HTTPS от клиента, и когда клиент открывает новый HTTPS-запрос к Dashboard.
   

 
 
 
 
 
 
 
 
 
 
 
 ---
apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:

name: kube-dashboard

namespace: kubernetes-dashboard
spec:
...
routes:
...

services:

- name: kubernetes-dashboard

namespace: kubernetes-dashboard

port: 443

serversTransport: mytransport
 
 
 
 
 
 
 
 
 
 
 
 

Это то, что вы используете. Проблема с вашей конфигурацией заключается в том, что во втором сеансе Traefik проверит сертификат TLS Dashboard.
Если сертификат Dashboard не подписан ни одним центром сертификации в списке Traefik, соединение закрывается, а затем Dashboard выдает сообщение об ошибке.
Если вы хотите использовать этот сценарий, вам нужно пропустить проверку сертификата Dashboard или добавить сертификат Dashboard в список доверенных центров сертификации Traefik.
Приведенная ниже конфигурация работает без проверки сертификата Dashboard.

1. Traefik передает трафик TLS на Dashboard без какой-либо обработки.

В этом сценарии Traefik не выполняет терминацию TLS, трафик передается на Dashboard в том виде, в каком он есть.
Это работает для меня.

1. Traefik завершает HTTPS от клиента и открывает новый простой HTTP-запрос к Dashboard.
   

В этом сценарии Dashboard необходимо обеспечить простое завершение HTTP.
Я не уверен, поддерживает ли это Dashboard.

Есть 4-й способ:

• Попросите панель управления Kube использовать ваш сертификат CA (а не самостоятельно сгенерированный):

• Удалить собственные сертификаты панели управления kube:

• Добавьте сертификат из вашего центра сертификации:

• Отредактируйте файл развертывания панели управления kube для использования вашего ключа:

• добавьте tls-cert-file/tls-key-file в спецификацию контейнера, как показано ниже:

• Попросите Traefik использовать ваш центр сертификации для проверки сертификатов панели управления Kube (должно перейти в пространство имен kube-system с именем ключа ca.crt).

• Изменить серверный транспорт