Come forzare SSL per Kubernetes Ingress su GKE

Question

C'è un modo per forzare un aggiornamento SSL per le connessioni in entrata sul sistema di bilanciamento del carico di ingresso? O se ciò non è possibile, posso disabilitare la porta: 80? Non ho trovato una buona pagina di documentazione che delinei tale opzione nel file YAML. Grazie mille in anticipo!

Answer 1

https://github.com/kubernetes/ingress-gce#frontend-https

È possibile bloccare HTTP attraverso l'annotazione kubernetes.io/ingress.allow-http: "false" o reindirizzare HTTP a HTTPS specificando un backend personalizzato. Sfortunatamente GCE non gestisce il reindirizzamento o la riscrittura al livello L7 direttamente per te, ancora.

Answer 2

L'annotazione è cambiato:

apiVersion: extensions/v1beta1 
kind: Ingress 
metadata: 
    name: test 
    annotations: 
    kubernetes.io/ingress.allow-http: "false" 
spec: 
... 

Qui è il cambiamento di annotazione PR: https://github.com/kubernetes/contrib/pull/1462/files

Answer 3

Se non si è tenuti al GCLB Ingress controller si potrebbe avere uno sguardo alla Nginx Ingress Controller. Questo controller è diverso da quello incorporato in più modi. Innanzitutto è necessario distribuirlo e gestirne uno da solo. Ma se si è disposti a farlo, si ottiene il vantaggio di non dipendere da GCE LB (20 $/mese) e ottenere supporto per IPv6/websockets.

I documentation stati:

Per default i reindirizzamenti controllore (301) per HTTPS se TLS è abilitato per tale ingresso. Se si desidera disabilitare questo comportamento a livello globale, è possibile utilizzare nella mappa di configurazione NGINX con ssl-redirect: "false".

La recente pubblicazione 0.9.0-beta.3 viene fornito con un'annotazione aggiuntivo per far rispettare in modo esplicito questo redirect:

Forza reindirizzare SSL utilizzando l'annotazione ingress.kubernetes.io/force-ssl-redirect