Início / server / Perguntas / 1164426
Accepted
Ryan Grush
Asked: 2024-08-28 06:54:11 +0800 CST

Proxy reverso para servidor K8 API

  • 772

Temos vários clusters K8 em execução no AKS e precisamos de um endereço IP estático para cada um dos seus servidores de API. Tentei vários serviços do Azure para fazer isso (Front Door, App Gateway, API Management), mas todos eles apresentam problemas quando tento configurar o servidor de backend/origem. Eles reclamam frequentemente sobre a falta de uma cadeia de certificados SSL.

Estou tentando explorar o uso de uma VM Nginx simples como um proxy de camada 4 para meu servidor de API AKS, mas também estou tendo problemas.

Originalmente eu tinha isso no meu /etc/nginx/nginx.confarquivo -

stream {
    upstream k8s_servers {
        hash $remote_addr consistent;
        server example1234.hcp.eastus.azmk8s.io:443;
    }

    server {
        listen 6443;
        proxy_pass k8s_servers;

    }
}

Em seguida, editei meu ~/.kube/configarquivo e editei minha configuração de cluster para ler -

- cluster:
    certificate-authority-data: XXXXXX
    server: https://k8-jumpbox.example.com

Quando eu corro kubectl get podseu recebo -

context deadline exceeded - error from a previous attempt: EOF

Alguém pode me ajudar a apontar o que estou fazendo errado ou uma solução melhor?

nginx

1 respostas

  1. Best Answer

    Foi isso que acabei decidindo. Essa resposta me ajudou a apontar a direção certa.

    load_module /usr/lib/nginx/modules/ngx_stream_module.so;

events {}

stream {
    # Define the upstream servers
    upstream foo_upstream_443 {
        hash $remote_addr consistent;
        server foo.hcp.eastus.azmk8s.io:443;
    }

    upstream foo_upstream_6443 {
        hash $remote_addr consistent;
        server foo.hcp.eastus.azmk8s.io:6443;
    }

    upstream bar_upstream_443 {
        hash $remote_addr consistent;
        server bar.hcp.eastus.azmk8s.io:443;
    }

    upstream bar_upstream_6443 {
        hash $remote_addr consistent;
        server bar.hcp.eastus.azmk8s.io:6443;
    }

    map $ssl_server_name $backend_443 {
        foo.example.com foo_upstream_443;
        bar.example.com bar_upstream_443;
    }

    map $ssl_preread_server_name $backend_6443 {
        foo.example.com foo_upstream_6443;
        bar.example.com bar_upstream_6443;
    }

    server {
        listen 443 ssl;

        proxy_pass $backend_443;
        proxy_timeout 120s;
        proxy_ssl on;

        ssl_certificate /etc/nginx/example.crt;
        ssl_certificate_key /etc/nginx/example.key;
    }

    server {
        listen 6443;

        proxy_pass $backend_6443;
        proxy_timeout 120s;
        ssl_preread on;
        proxy_ssl on;

        ssl_certificate /etc/nginx/example.crt;
        ssl_certificate_key /etc/nginx/example.key;
    }
}
    • 0

relate perguntas