Citrix ADC Ingress Controller

Konfigurieren von SSL-Passthrough mit Kubernetes Ingress

Mit der SSL-Passthrough-Funktion können Sie eingehende SSL-Anforderungen (Security Sockets Layer) zur Entschlüsselung direkt an einen Server weiterleiten, anstatt die Anforderung mit einem Load Balancer zu entschlüsseln. SSL-Passthrough wird häufig für die Sicherheit von Webanwendungen verwendet und verwendet den TCP-Modus, um verschlüsselte Daten an Server zu übergeben.

Die Proxy-SSL-Passthrough-Konfiguration erfordert nicht die Installation eines SSL-Zertifikats auf dem Load Balancer. SSL-Zertifikate sind auf dem Back-End-Server installiert, da sie die SSL-Verbindung anstelle des Load Balancers verarbeiten.

Das folgende Diagramm erklärt die SSL-Passthrough-Funktion.

SSL-Passthrough

Wie in diesem Diagramm gezeigt, wird der SSL-Verkehr nicht am Citrix ADC beendet und der SSL-Verkehr wird über den Citrix ADC an den Backend-Server weitergeleitet. Das SSL-Zertifikat auf dem Backend-Server wird für den SSL-Handshake verwendet.

Der Citrix Ingress Controller bietet die folgende Ingress-Anmerkung, die Sie verwenden können, um SSL-Passthrough auf dem Ingress Citrix ADC zu aktivieren:

ingress.citrix.com/ssl-passthrough: 'True|False'

Der Standardwert der Anmerkung ist False.

SSL-Passthrough ist für alle in der Ingress-Definition bereitgestellten Dienste oder Hostnamen aktiviert. SSL-Passthrough verwendet den Hostnamen (Platzhalter-Hostname wird ebenfalls unterstützt) und ignoriert in Ingress angegebene Pfade.

Hinweis:

Der Citrix Ingress Controller unterstützt kein SSL-Passthrough für Ingress, der nicht auf Hostnamen basiert. SSL-Passthrough ist auch nicht für den standardmäßigen Backend-Ingress gültig.

Um SSL-Passthrough auf dem Ingress Citrix ADC zu konfigurieren, müssen Sie den definieren, ingress.citrix.com/ssl-passthrough: wie im folgenden Beispiel für die Ingress-Definition gezeigt. Sie müssen auch TLS für den Host aktivieren, wie im Beispiel gezeigt.

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    ingress.citrix.com/frontend-ip: x.x.x.x
    ingress.citrix.com/insecure-termination: redirect
    ingress.citrix.com/secure-backend: "True"
    ingress.citrix.com/ssl-passthrough: "True"
    kubernetes.io/ingress.class: citrix
  name: hotdrinks-ingress
spec:
  rules:
  - host: hotdrinks.beverages.com
    http:
      paths:
      - backend:
          service:
            name: frontend-hotdrinks
            port:
              number: 443
        path: /
        pathType: Prefix
  tls:
  - secretName: beverages
<!--NeedCopy-->
Konfigurieren von SSL-Passthrough mit Kubernetes Ingress

In diesem Artikel