Contrôleur d'entrée Citrix ADC

Configurer le relais SSL à l’aide de Kubernetes Ingress

La fonction de relais SSL vous permet de transmettre les demandes de couche de sockets de sécurité (SSL) entrantes directement à un serveur pour le décryptage plutôt que de déchiffrer la demande à l’aide d’un équilibreur de charge. Le relais SSL est largement utilisé pour la sécurité des applications Web et utilise le mode TCP pour transmettre des données cryptées aux serveurs.

La configuration du relais SSL du proxy ne nécessite pas l’installation d’un certificat SSL sur l’équilibreur de charge. Les certificats SSL sont installés sur le serveur principal car ils gèrent la connexion SSL au lieu de l’équilibreur de charge.

Le schéma suivant explique la fonctionnalité de relais SSL.

Passthrough SSL

Comme indiqué dans ce diagramme, le trafic SSL n’est pas arrêté au niveau de Citrix ADC et le trafic SSL est transmis via Citrix ADC au serveur principal. Le certificat SSL sur le serveur principal est utilisé pour l’établissement de la liaison SSL.

Le Citrix ingress controller fournit l’annotation d’entrée suivante que vous pouvez utiliser pour activer le relais SSL sur le Citrix ADC d’entrée :

ingress.citrix.com/ssl-passthrough: 'True|False'

La valeur par défaut de l’annotation est False.

Le relais SSL est activé pour tous les services ou noms d’hôtes fournis dans la définition d’entrée. Le relais SSL utilise le nom d’hôte (le nom d’hôte générique est également pris en charge) et ignore les chemins fournis dans Ingress.

Remarque :

Le Citrix ingress controller ne prend pas en charge le relais SSL pour les entrées non basées sur le nom d’hôte. En outre, le relais SSL n’est pas valide pour l’entrée principale par défaut.

Pour configurer le relais SSL sur le Citrix ADC d’entrée, vous devez définir le ingress.citrix.com/ssl-passthrough: comme indiqué dans l’exemple de définition d’entrée suivant. Vous devez également activer le protocole TLS pour l’hôte, comme indiqué dans l’exemple.

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    ingress.citrix.com/frontend-ip: x.x.x.x
    ingress.citrix.com/insecure-termination: redirect
    ingress.citrix.com/secure-backend: "True"
    ingress.citrix.com/ssl-passthrough: "True"
    kubernetes.io/ingress.class: citrix
  name: hotdrinks-ingress
spec:
  rules:
  - host: hotdrinks.beverages.com
    http:
      paths:
      - backend:
          service:
            name: frontend-hotdrinks
            port:
              number: 443
        path: /
        pathType: Prefix
  tls:
  - secretName: beverages
<!--NeedCopy-->
Configurer le relais SSL à l’aide de Kubernetes Ingress

Dans cet article