ssl - 使用 Nginx-Ingress-Controller 在 AWS 上的 EKS 中使用 gRPC
问题描述
我在 AWS EKS 中设置了 gRPC 服务器,并使用 Nginx-Ingress-Controller 执行负载平衡。我尝试通过将 gRPC 服务器入口设置为 like 来终止 NLB 的 TLS
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
annotations:
kubernetes.io/ingress.class: "nginx"
nginx.ingress.kubernetes.io/ssl-redirect: "true"
nginx.ingress.kubernetes.io/backend-protocol: "GRPC"
name: my-grpc
namespace: myspace
spec:
rules:
- host: my.test.com
http:
paths:
- path: /
backend:
serviceName: grpc-server
servicePort: 8080
另外,我使用 Amazon Certificate Manager 来管理 NLB 的 TLS,所以我必须将 Nginx-Ingress-Controller Value.yaml 的 Helm Chart 更改为以下字段
controller:
service:
enabled: true
annotations:
service.beta.kubernetes.io/aws-load-balancer-ssl-cert: arn:aws:acm:xxxxxxxxxxx
service.beta.kubernetes.io/aws-load-balancer-backend-protocol: http
service.beta.kubernetes.io/aws-load-balancer-ssl-ports: "443,8443"
service.beta.kubernetes.io/aws-load-balancer-connection-idle-timeout: "3600"
service.beta.kubernetes.io/aws-load-balancer-type: nlb
service.beta.kubernetes.io/aws-load-balancer-internal: "true"
targetPorts:
http: http
https: http
问题是,我无法通过 443 端口成功调用并使客户端连接到 gRPC 服务器。
问题发生在 NLB 和 Nginx 之间,但是是什么以及为什么是未知的。任何形式的帮助将不胜感激。
注意:我知道示例ingress-nginx有 TLS 字段,但是如果我使用 ACM,我应该放在这里。
解决方案
我终于通过 AWS + NLB + EKS 得到了一些东西。我从这个基本的 grpc 应用开始
用您的 URL(例如 example.com)交换“fortune-teller.stack.build”的任何实例
在入口中,我必须将tls -> secret Name 更改为我之前使用本指南 创建的 tls-secret
kind: Ingress
metadata:
annotations:
kubernetes.io/ingress.class: "nginx"
nginx.ingress.kubernetes.io/ssl-redirect: "true"
nginx.ingress.kubernetes.io/backend-protocol: "GRPC"
name: fortune-ingress
namespace: default
spec:
rules:
- host: example.com
http:
paths:
- backend:
serviceName: fortune-teller-service
servicePort: grpc
tls:
- secretName: tls-secret
hosts:
- example.com
在 cert.yaml 中,更改
- 规范 -> 我的 URL 的域(example.com)
在 svc.yaml 中,添加注解和“type:LoadBalancer”
apiVersion: v1
kind: Service
metadata:
name: fortune-teller-service
namespace: default
annotations:
service.beta.kubernetes.io/aws-load-balancer-type: "nlb"
service.beta.kubernetes.io/aws-load-balancer-internal: "false"
service.beta.kubernetes.io/aws-load-balancer-ssl-cert: "arn:aws:acm:<REGION>:<MY ACCOUNT>:certificate/<CERT ID>"
service.beta.kubernetes.io/aws-load-balancer-ssl-ports: "443"
service.beta.kubernetes.io/aws-load-balancer-backend-protocol: "tcp"
spec:
type: LoadBalancer
selector:
k8s-app: fortune-teller-app
ports:
- port: 50051
targetPort: 50051
name: grpc
通过自述文件部署所有内容后,在 AWS 控制台中找到 NLB。
- 侦听器选项卡 -> 选择侦听器 (50051) 并单击“编辑”
- 将协议更改为 TLS,我将端口更改为 443
- 在 ALPN 策略下,选择“HTTP2Only”
- 在“默认操作 -> 转发到”下保持相同的目标组
- 选择一个策略版本(我选择了 ELBSecurityPolicy2016-08,但将对其进行升级)以及与您的 URL 相关联的来自 ACM 的证书
- 点击“更新”
- 将您的 DNS 名称指向您的 NLB
现在等待...因为侦听器更新似乎需要几分钟。
grpcurl example.com:443 build.stack.fortune.FortuneTeller/Predict
通过交换图像、端口,当然还有名称,我还能够让我的应用程序成功运行。
我犯的错误使它对我不起作用:
- 入口中没有 TLS 密钥
- 当 AWS 文档说您的目标组必须是“TLS 目标组”时,请相信他们。如果您遵循此示例,则永远不会交换 TG。TG 保持作为 TCP TG 并且仍然工作。
推荐阅读
- aes-gcm - AES-GCM 解密错误 iaik.cms.CMSException:无法解密加密的内容加密密钥:无效填充
- android - 如何使用 Kotlin 将文件移动到 Android 中的内部存储(保留应用程序的内存)?
- java - 创建委托身份验证提供程序(Spring Security)
- ruby-on-rails - Ruby 舍入约定
- pdf - Adobe Reader 不显示 PDFKit 生成的某些文本
- javascript - 如何防止两个组件重叠
- linux - 关于 WSL 问题的 vscode:打开括号或大括号时编辑光标向后移动
- ntfs - NTFS 磁盘上的 $MFT 中有错误的 $FILE_NAME 条目
- javascript - 如何通过导出导出相同的函数但具有不同的参数
- sql - Oracle SQL:在没有子查询连接的情况下从另一个表中排除 ID