【发布时间】:2021-08-02 11:56:26
【问题描述】:
在 Kubernetes 中,要启用 client-certificate authN,可以在 ingress 中使用注解 nginx.ingress.kubernetes.io/auth-tls-verify-client。即使我不在该入口处进行 TLS 终止,客户端证书身份验证是否也能正常工作?例如,在这个ingress 中,如果我从入口中删除 tls 块,client-cert authN 是否仍然有效?
tls:
- hosts:
- mydomain.com
secretName: tls-secret
(更多信息:我有两个用于同一主机的入口,一个具有 TLS 部分,另一个具有特定 api-path 的规则,并且具有客户端证书部分但没有 TLS 部分)。
另外,如果请求是在http 端点(不是https)上发送的,我观察到即使注释值设置为on,客户端证书也会被忽略。这是记录在案的行为吗?
【问题讨论】:
-
你好@sg1993,你有哪个版本的Kubernetes,你是如何部署的?您还有其他关于忽略
annotation nginx.ingress.kubernetes.io/auth-tls-verify-client: on的信息吗?它记录在 here 例如,在 Cloudflare 中无法使用带有客户端身份验证的 TLS。
标签: kubernetes kubernetes-ingress client-certificates