SQLAdmin在Kubernetes部署中的HTTPS资源加载问题解决方案

问题背景

在使用SQLAdmin这一Python库开发管理后台时，开发者在本地Docker环境中运行应用一切正常，但当部署到Kubernetes集群后，前端样式和JavaScript功能失效，仅显示原始HTML内容。控制台出现Mixed Content错误提示，表明页面通过HTTPS加载，但CSS/JS资源却尝试通过HTTP协议获取。

问题分析

这种Mixed Content错误是Web安全策略的常见表现，现代浏览器会阻止HTTPS页面加载HTTP资源。根本原因在于：

1. 协议不匹配：前端页面通过HTTPS访问，但静态资源URL仍配置为HTTP
2. 反向代理配置：Kubernetes环境中通常有Ingress等反向代理组件处理SSL终止
3. URL生成机制：SQLAdmin默认可能未感知上层代理的HTTPS配置

解决方案

方案一：配置静态资源基础URL

在SQLAdmin初始化时，显式设置静态资源的基准URL为HTTPS：

from sqladmin import Admin

admin = Admin(
    app,
    base_url="https://your-domain.com/admin",
    static_url="https://your-domain.com/admin/statics"
)

方案二：使用X-Forwarded-Proto头部

如果使用Kubernetes Ingress等反向代理，确保正确传递协议信息：

1. 配置Ingress添加注解：

   annotations:
     nginx.ingress.kubernetes.io/force-ssl-redirect: "true"
     nginx.ingress.kubernetes.io/proxy-redirect-from: "http://"
     nginx.ingress.kubernetes.io/proxy-redirect-to: "https://"
   

2. 在应用配置中启用信任代理：

   app.middleware = [
       Middleware(
           TrustedHostMiddleware,
           allowed_hosts=["your-domain.com"]
       )
   ]
   

方案三：强制HTTPS重定向

在应用层面添加中间件，强制所有请求使用HTTPS：

from starlette.middleware.httpsredirect import HTTPSRedirectMiddleware

app.add_middleware(HTTPSRedirectMiddleware)

最佳实践建议

1. 环境检测：根据运行环境自动切换URL方案

   import os
   
   IS_PRODUCTION = os.getenv("ENVIRONMENT") == "production"
   base_url = "https://..." if IS_PRODUCTION else "http://..."
   

2. 健康检查：确保Kubernetes的readiness/liveness探针也使用正确协议

3. CSP配置：添加内容安全策略防止混合内容

   from starlette.middleware import Middleware
   from starlette.middleware.csp import CSPMiddleware
   
   app.middleware = [
       Middleware(
           CSPMiddleware,
           default_src=["'self'", "https:"]
       )
   ]
   

总结

在Kubernetes环境中部署SQLAdmin应用时，正确处理HTTPS与静态资源的关系至关重要。通过合理配置反向代理、正确设置基础URL以及实施安全中间件，可以确保管理界面在各种环境下都能正常显示和运行。这些解决方案不仅适用于SQLAdmin，也可作为其他Starlette/FastAPI应用在Kubernetes部署时的参考。