我有两个使用kubeadm的kubernetes集群设置,我使用haproxy将流量重定向并负载均衡到不同的集群。现在,我想将请求重定向到每个群集的相应api服务器。因此,我需要解密ssl请求,读取“主机” HTTP标头,然后再次加密流量。我的示例haproxy配置文件如下所示:
frontend k8s-api-server
bind *:6443 ssl crt /root/k8s/ssl/apiserver.pem
mode http
default_backend k8s-prod-master-api-server
backend k8s-prod-master-api-server
mode http
option forwardfor
server master 10.0.0.2:6443 ssl ca-file /root/k8s/ssl/ca.crt
如果现在通过kubectl访问api服务器,则会出现以下错误:
kubectl get pods
error: the server doesn't have a resource type "pods"
kubectl get nodes
error: the server doesn't have a resource type "nodes"
我认为即时通讯使用错误的证书进行解密和加密。我是否需要使用目录[[/ etc / kubernetes / pki中的apiserver.crt,apiserver.key和ca.crt文件?
pod
和node
资源。一种替代方法是通过读取SNI标头并以这种方式转发流量,从而在L4处进行代理。这样,您无需读取任何HTTP标头,因此无需解密和重新加密流量。这可能与HAProxy有关。