Ingress Controller de Citrix ADC

Configurar el acceso directo de SSL mediante Kubernetes Ingress

La función de acceso directo SSL le permite pasar solicitudes de capa de sockets de seguridad (SSL) entrantes directamente a un servidor para descifrarlas en lugar de descifrar la solicitud con un equilibrador de carga. El acceso directo SSL se usa ampliamente para la seguridad de aplicaciones web y utiliza el modo TCP para pasar datos cifrados a los servidores.

La configuración de acceso directo SSL de proxy no requiere la instalación de un certificado SSL en el equilibrador de carga. Los certificados SSL se instalan en el servidor back-end, ya que gestionan la conexión SSL en lugar del equilibrador de carga.

En el siguiente diagrama se explica la función de acceso directo de SSL.

Paso a través de SSL

Como se muestra en este diagrama, el tráfico SSL no termina en Citrix ADC y el tráfico SSL pasa a través de Citrix ADC al servidor back-end. El certificado SSL en el servidor back-end se usa para el protocolo de enlace SSL.

El Citrix Ingress Controller proporciona la siguiente anotación de entrada que puede usar para habilitar el paso a través de SSL en el Citrix ADC de entrada:

ingress.citrix.com/ssl-passthrough: 'True|False'

El valor por defecto de la anotación es False.

El acceso directo SSL está habilitado para todos los servicios o nombres de host proporcionados en la definición de Ingress. El acceso directo SSL utiliza el nombre de host (también se admite el nombre de host comodín) e ignora las rutas proporcionadas en Ingress.

Nota:

El Citrix Ingress Controller no admite el acceso directo SSL para Ingress no basados en nombres de host. Además, el paso a través de SSL no es válido para el ingreso de back-end predeterminado.

Para configurar el acceso directo SSL en el Citrix ADC de entrada, debe definir ingress.citrix.com/ssl-passthrough: como se muestra en la siguiente definición de ingreso de ejemplo. También debe habilitar TLS para el host, como se muestra en el ejemplo.

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    ingress.citrix.com/frontend-ip: x.x.x.x
    ingress.citrix.com/insecure-termination: redirect
    ingress.citrix.com/secure-backend: "True"
    ingress.citrix.com/ssl-passthrough: "True"
    kubernetes.io/ingress.class: citrix
  name: hotdrinks-ingress
spec:
  rules:
  - host: hotdrinks.beverages.com
    http:
      paths:
      - backend:
          service:
            name: frontend-hotdrinks
            port:
              number: 443
        path: /
        pathType: Prefix
  tls:
  - secretName: beverages
<!--NeedCopy-->
Configurar el acceso directo de SSL mediante Kubernetes Ingress

En este artículo