Eclipse Che中TLS边缘终止支持HTTP端点暴露的问题分析

问题背景

在Eclipse Che 7.89版本中，当开发者配置HTTP服务端点并启用TLS安全连接时，遇到了端点无法通过UI正常访问的问题。具体表现为：虽然OpenShift路由被正确创建且能通过控制台直接访问，但通过Che的VSCode界面端点部分访问时却返回404错误。

问题现象

开发者配置的端点示例如下：

- exposure: public
  targetPort: 5050
  name: web
  protocol: http
  secure: true
  attributes:
    discoverable: true

这种情况下：

1. 路由URL被正确生成
2. 通过OpenShift控制台直接访问路由URL可以正常工作
3. 通过Che UI端点部分访问时出现404错误
4. 尝试添加urlRewriteSupported属性会导致路由创建失败

技术分析

经过深入调查，发现问题根源在于Che Router的路由服务关联逻辑存在缺陷。具体表现为：

1. 服务关联错误：Che Router将所有路由/入口(ingress)都关联到了工作区的通用服务(common service)上，而没有检查特定路由是否应该关联到端点专属服务。

2. discoverable属性的影响：当端点上设置了discoverable属性时，系统会为该端点创建专属服务，这个服务本应关联到对应端点的路由/入口，但当前逻辑没有正确处理这种关联关系。

3. 路由类差异：当使用DevWorkspace Operator的"basic"路由类时，问题不会出现，这进一步验证了问题与Che Router特定实现相关。

解决方案

修复方案的核心是修改Che Router的服务关联逻辑：

1. 端点服务检查：在处理路由/入口时，首先检查端点是否配置了discoverable属性。

2. 正确服务关联：对于配置了discoverable属性的端点，将其路由/入口关联到专属服务而非通用服务。

3. 向后兼容：保持对未配置discoverable属性端点的现有处理逻辑不变。

技术实现细节

在Che Router的代码实现中，主要修改点包括：

1. 服务选择逻辑：在创建路由时，根据端点属性选择合适的服务进行关联。

2. 路由规则生成：确保生成的边缘终止TLS配置与后端服务正确匹配。

3. 路径处理：正确处理URL重写规则，避免因路径处理不当导致的404错误。

影响范围

该问题影响所有使用以下配置组合的场景：

• 使用HTTP协议端点
• 启用了TLS安全连接(secure: true)
• 设置了discoverable属性
• 使用Che默认路由类(非basic路由类)

验证方法

开发者可以通过以下步骤验证问题是否修复：

1. 创建一个包含HTTP端点的工作区，端点配置secure: true和discoverable: true属性。

2. 通过Che UI端点部分访问服务。

3. 确认可以正常访问而不再出现404错误。

4. 同时验证通过OpenShift控制台直接访问路由URL仍然正常工作。

总结

这个问题揭示了Che Router在处理TLS边缘终止和HTTP端点暴露时的服务关联逻辑缺陷。通过修正服务关联策略，确保了discoverable端点能够正确暴露并通过UI访问。这一修复不仅解决了当前的404错误问题，也为未来类似功能的扩展奠定了更健壮的基础。