Kubernetes 仪表板:TLS 握手错误

【问题标题】:Kubernetes dashboard: TLS handshake errorKubernetes 仪表板:TLS 握手错误
【发布时间】:2021-06-16 08:52:36
【问题描述】:

我有一个 EKS 1.18 集群。当我尝试部署 k8s 仪表板时,它失败并出现以下错误。

另外,我的仪表板 svc 使用 loadBalancer。

kind: Service
apiVersion: v1
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  annotations:
    external-dns.alpha.kubernetes.io/hostname: "test.xxx.net"
    service.beta.kubernetes.io/aws-load-balancer-internal: 0.0.0.0/0
  name: kubernetes-dashboard
  namespace: kubernetes-dashboard
spec:
  type: LoadBalancer
  ports:
    - port: 443
      targetPort: 8443
  selector:
    k8s-app: kubernetes-dashboard

请告诉我TLS handshake error 是什么意思?我应该怎么做才能修复这个错误?

日志:

2021/03/18 22:03:08 http: TLS handshake error from xx.xxx.x.x:8279: EOF
2021/03/18 22:03:08 http: TLS handshake error from xx.xxx.x.x:34935: EOF
2021/03/18 22:03:08 http: TLS handshake error from xx.xxx.x.x:24437: EOF
2021/03/18 22:03:08 http: TLS handshake error from xx.xxx.x.x:64552: EOF
2021/03/18 22:03:10 http: TLS handshake error from xx.xxx.x.x:5481: EOF

代码:

https://github.com/kubernetes/dashboard/releases/tag/v2.0.3

https://raw.githubusercontent.com/kubernetes/dashboard/v2.0.3/aio/deploy/recommended.yaml

 kubectl version
+ kubectl version Client Version: version.Info{Major:"1", Minor:"16", GitVersion:"v1.16.1", GitCommit:"d647ddbd755faf07169599a625faf302ffc34458", GitTreeState:"clean", BuildDate:"2019-10-02T23:49:20Z", GoVersion:"go1.12.9", Compiler:"gc", Platform:"darwin/amd64"} Server Version: version.Info{Major:"1", Minor:"18+", GitVersion:"v1.18.9-eks-d1db3c", GitCommit:"d1db3c46e55f95d6a7d3e5578689371318f95ff9", GitTreeState:"clean", BuildDate:"2020-10-20T22:18:07Z", GoVersion:"go1.13.15", Compiler:"gc", Platform:"linux/amd64"}

【问题讨论】:

  • 您的入口可能不理解仪表板会自行终止 tls 并尝试在那里发送裸 http 请求。因此,无论您使用什么来入口/负载平衡应用程序的流量 - 都应该配置为通过 tls 连接。
  • 您究竟是如何访问仪表板的?使用负载均衡器的 IP 地址或某个域?您是否还配置了任何入口资源?
  • 使用域名,没有配置任何入口
  • "没有配置任何入口" ---好吧,连接到它的人会在没有 tls 的情况下执行 http

标签: kubernetes amazon-eks kubernetes-pod kubernetes-dashboard


【解决方案1】:

说明:

zerkms 已经在他的评论中阐明了您的问题的原因:

您的入口可能不理解仪表板终止 tls 本身并尝试在那里发送裸 http 请求。所以,不管 您用来入口/负载平衡应用程序的流量 - 应该是 配置为通过 tls 连接。 – zerkms 3 月 19 日 2:55

您还告诉我们,没有配置任何入口,但您用于连接域名,指向您的 LoadBalancer 的 IP。这很好,但请记住,当您在 EKS 集群上创建 LoadBalancer 类型的 Service 时,默认情况下会创建 Classic Load Balancer。它适用于 OSI 模型的第 7 层,因此它可以识别 https 流量,终止 TLS 连接,然后将裸 http 请求发送到您的后端 pod。正如zerkms 已经解释的那样,您的后端不准备处理此类连接,因为它会终止 TLS 本身。

解决方案:

正如我已经提到的,默认情况下,当您创建LoadBalancer 服务时,会创建经典负载均衡器。但是,您可以通过在您的 Service 中添加 here 中提到的以下注释来更改此默认行为:

service.beta.kubernetes.io/aws-load-balancer-type: nlb

由于网络负载均衡器在 OSI 模型的第 4 层上运行,它只是将 TCP 数据包传递到您的后端 pod,而无需检查其内容、终止 TLS 等,并期待 https 流量。

或者,您可以设置一些 ingress 控制器,而 is configured to support SSL-passthrough 就像 ngix-ingress 作为 AWS 的 ALB 不幸的是没有支持一下。

【讨论】:

    猜你喜欢
    • 2016-03-21
    • 2014-12-09
    • 2017-01-17
    • 1970-01-01
    • 2017-01-25
    • 1970-01-01
    • 1970-01-01
    • 2017-11-17
    • 2018-03-06
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode