AWS Load Balancer Controller中实现HTTP到HTTPS重定向的最佳实践

在Kubernetes环境中使用AWS Load Balancer Controller管理ALB时，经常需要实现HTTP(80端口)到HTTPS(443端口)的重定向功能。本文将详细介绍如何通过Ingress资源配置实现这一需求，同时避免常见的配置陷阱。

问题背景

许多开发者在配置ALB监听器规则时发现，为HTTP 80端口设置的规则会意外地应用到HTTPS 443端口上。这通常是由于Ingress资源配置不当导致的。正确的做法应该是为不同端口的监听器分别配置独立的规则集。

解决方案

通过精心设计的Ingress资源配置，我们可以实现：

1. 80端口接收所有*.favex.io和favex.io域名的请求并重定向到HTTPS
2. 443端口处理实际的HTTPS流量
3. 其他非法请求返回404错误

详细配置解析

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: ambassador-l7
  namespace: ambassador
  annotations:
    kubernetes.io/ingress.class: alb
    # 关键配置：将80和443端口分开声明
    alb.ingress.kubernetes.io/listen-ports: '[{"HTTP":80},{"HTTPS":443}]'
    alb.ingress.kubernetes.io/certificate-arn: arn:aws:acm:ap-southeast-1:xxxxx:certificate/xxxx
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/target-type: instance
    
    # 定义主机头条件
    alb.ingress.kubernetes.io/conditions.host-header: '[{"Field": "host-header", "HostHeaderConfig": {"Values": ["*.favex.io", "favex.io"]}}]'
    
    # 80端口的重定向动作
    alb.ingress.kubernetes.io/actions.host-header: |
      {
        "Type": "redirect",
        "RedirectConfig": {
          "Protocol": "HTTPS",
          "Port": "443",
          "StatusCode": "HTTP_301"
        }
      }
    
    # 80端口的默认动作(404响应)
    alb.ingress.kubernetes.io/actions.default-80: |
      {
        "Type": "fixed-response",
        "FixedResponseConfig": {
          "StatusCode": "404",
          "ContentType": "text/plain",
          "MessageBody": "404 Not Found"
        }
      }
spec:
  rules:
    # 80端口规则
    - http:
        paths:
          - path: /*
            pathType: ImplementationSpecific
            backend:
              service:
                name: host-header
                port:
                  name: use-annotation
    # 443端口规则
    - host: '*.favex.io'
      http:
        paths:
          - path: /*
            pathType: ImplementationSpecific
            backend:
              service:
                name: ambassador-aws-alb-l7
                port:
                  number: 443

关键配置要点

1. 监听器分离配置：通过[{"HTTP":80},{"HTTPS":443}]的格式明确分离两个端口的配置，这是避免规则交叉应用的关键。

2. 条件定义：使用conditions.host-header注解明确定义主机头匹配条件。

3. 动作类型：

   • redirect类型用于实现301重定向
   • fixed-response用于返回自定义响应

4. 规则优先级：在spec.rules中，通用规则应放在前面，特定规则放在后面。

常见问题排查

如果发现配置未生效，建议检查：

1. AWS Load Balancer Controller的日志是否有错误
2. ALB控制台中的监听器规则是否按预期创建
3. IAM权限是否足够
4. 注解语法是否正确（特别是JSON部分）

总结

通过合理配置AWS Load Balancer Controller的Ingress资源，我们可以精确控制不同端口上的流量处理逻辑。这种配置方式不仅实现了HTTP到HTTPS的安全重定向，还能有效防止非法访问，是生产环境部署的最佳实践。

对于更复杂的场景，还可以考虑添加WAF规则、自定义错误页面等增强功能，这些都可以通过类似的注解配置方式实现。