Kubernetes Dashboard 通过Ingress访问时HTTPS配置问题解析

问题现象

在使用Kubernetes Dashboard时，用户通过Ingress配置HTTPS访问时遇到了"400 Bad Request"错误，提示"The plain HTTP request was sent to HTTPS port"。这个问题表现为虽然浏览器中使用了HTTPS协议，但请求似乎仍被当作HTTP处理。

问题分析

这个问题通常发生在Kubernetes Dashboard服务与Ingress控制器之间的通信协议不匹配时。具体来说，当：

1. 用户通过HTTPS访问Ingress
2. Ingress控制器默认使用HTTP协议将请求转发到后端服务
3. 但Dashboard服务本身配置为只接受HTTPS连接

这种协议不匹配导致了上述错误。Kubernetes Dashboard从7.x版本开始强化了安全配置，默认要求HTTPS连接，这使得之前的HTTP配置不再适用。

解决方案

方案一：使用nginx.org/ssl-services注解

对于使用NGINX Ingress控制器的环境，可以通过添加特定注解来解决问题：

annotations:
  nginx.org/ssl-services: "kubernetes-dashboard-kong-proxy"

这个注解告诉NGINX Ingress控制器使用SSL/TLS协议与后端服务通信。

方案二：使用backend-protocol注解

更通用的解决方案是使用标准的NGINX Ingress注解：

annotations:
  nginx.ingress.kubernetes.io/backend-protocol: "HTTPS"

这个注解明确指定Ingress控制器使用HTTPS协议与后端服务通信。

方案三：启用默认注解

在Helm values.yaml配置中，可以启用默认注解：

ingress:
  useDefaultAnnotations: true

这会自动包含必要的注解配置，简化部署过程。

配置示例

完整的Helm values.yaml配置示例如下：

app:
  ingress:
    enabled: true
    hosts:
      - dashboard.example.com
    ingressClassName: nginx
    tls:
      enabled: true
      secretName: tls-secret
    annotations:
      nginx.ingress.kubernetes.io/backend-protocol: "HTTPS"

深入理解

这个问题背后的技术原理涉及Kubernetes Ingress控制器的工作机制。当客户端通过HTTPS访问时：

1. 客户端与Ingress控制器建立HTTPS连接
2. Ingress控制器终止SSL/TLS
3. 默认情况下，Ingress控制器使用HTTP协议将请求转发到后端服务
4. 如果后端服务(如Dashboard)配置为只接受HTTPS，就会拒绝HTTP请求

通过添加上述注解，我们改变了第3步的行为，使Ingress控制器与后端服务之间也使用HTTPS协议通信。

最佳实践

1. 生产环境中始终使用HTTPS
2. 明确指定后端协议，避免依赖默认值
3. 定期检查Ingress控制器的文档，了解注解的变化
4. 测试环境与生产环境保持一致的配置

通过正确配置Ingress注解，可以确保Kubernetes Dashboard在各种环境中安全可靠地提供服务。