首页
/ 解决kube-hetzner项目中HTTPS负载均衡服务配置问题

解决kube-hetzner项目中HTTPS负载均衡服务配置问题

2025-06-27 01:02:40作者:董斯意
terraform-hcloud-kube-hetzner
Optimized and Maintenance-free Kubernetes on Hetzner Cloud in one command!
项目地址:https://gitcode.com/gh_mirrors/te/terraform-hcloud-kube-hetzner

在Kubernetes集群中使用kube-hetzner项目部署应用时,许多开发者会遇到HTTPS负载均衡服务配置不当的问题。本文将深入分析这一常见问题的根源,并提供正确的解决方案。

问题现象分析

当开发者在kube-hetzner项目中配置TLS证书时,通常会观察到以下异常现象:

  1. 负载均衡器仅创建HTTP(80端口)服务,缺少HTTPS(443端口)服务
  2. 修改负载均衡算法类型后,HTTPS服务短暂出现但随后消失
  3. 系统日志显示证书查找失败的错误信息

这些问题的本质在于TLS终止点的选择冲突,即同时尝试在Hetzner负载均衡器和Kubernetes Ingress两个层面进行TLS终止。

技术背景解析

kube-hetzner项目默认集成了cert-manager和NGINX Ingress Controller,这为集群提供了完整的证书管理和入口流量控制能力。项目设计时推荐使用"TLS终止于Ingress"的架构模式,这种模式具有以下优势:

  1. cert-manager自动管理证书的签发、续期和轮换
  2. NGINX Ingress Controller统一处理所有入口流量
  3. 应用服务只需关注业务逻辑,无需处理TLS相关配置
  4. 证书以Secret形式存储在集群内部,安全性更高

错误配置剖析

常见错误配置是在定义Kubernetes Service资源时同时设置了:

type: LoadBalancer
annotations:
  load-balancer.hetzner.cloud/protocol: "https"

这种配置会导致以下问题:

  1. 向Hetzner云控制器发出矛盾指令,要求负载均衡器自身处理TLS
  2. 控制器会在Hetzner Cloud项目中查找证书,而实际证书由cert-manager存储在Kubernetes Secret中
  3. 两个TLS终止点相互干扰,造成服务不稳定

正确配置方案

正确的架构应该明确分层:

  1. 入口层:由kube-hetzner自动创建的LoadBalancer处理
  2. 路由层:NGINX Ingress Controller负责流量路由和TLS终止
  3. 应用层:标准ClusterIP服务暴露应用

具体配置调整如下:

  1. 将应用服务改为ClusterIP类型:
apiVersion: v1
kind: Service
metadata:
  name: web
spec:
  selector:
    app: web
  ports:
    - port: 80
      targetPort: 3333
  type: ClusterIP
  1. 确保Ingress资源正确配置TLS:
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: web
  annotations:
    kubernetes.io/ingress.class: "nginx"
spec:
  tls:
    - hosts:
        - example.com
      secretName: tls
  rules:
    - host: example.com
      http:
        paths:
          - path: /
            pathType: Prefix
            backend:
              service:
                name: web
                port:
                  number: 80
  1. 确保证书签发配置正确:
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: web-cert
spec:
  secretName: tls
  issuerRef:
    name: letsencrypt-prod
    kind: ClusterIssuer
  dnsNames:
    - example.com

架构优势说明

采用这种分层架构具有多方面优势:

  1. 简化证书管理:cert-manager自动处理Let's Encrypt证书的整个生命周期
  2. 统一入口点:所有流量通过Ingress Controller进入,便于实施统一策略
  3. 资源高效利用:避免在负载均衡器和Ingress两个层面重复处理TLS
  4. 配置清晰:各层职责明确,便于维护和故障排查

常见问题排查

如果按照上述配置后仍遇到问题,可以检查以下方面:

  1. 确保证书签发成功:检查cert-manager的Certificate和Order资源状态
  2. 验证Secret是否生成:检查指定名称的tls Secret是否存在
  3. 检查Ingress Controller日志:查看是否有TLS相关错误
  4. 确认DNS解析:确保域名正确解析到负载均衡器IP

通过理解kube-hetzner项目的设计理念和正确配置各层组件,开发者可以构建出稳定、安全的HTTPS服务架构,充分发挥Kubernetes和Hetzner云平台的优势。

terraform-hcloud-kube-hetzner
Optimized and Maintenance-free Kubernetes on Hetzner Cloud in one command!
项目地址:https://gitcode.com/gh_mirrors/te/terraform-hcloud-kube-hetzner
登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
291
2.62 K
kernelkernel
deepin linux kernel
C
24
7
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
JavaScript
227
306
pytorchpytorch
Ascend Extension for PyTorch
Python
122
149
flutter_flutterflutter_flutter
暂无简介
Dart
579
127
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
606
183
cangjie_compilercangjie_compiler
仓颉编译器源码及 cjdb 调试工具。
C++
121
330
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.04 K
610
ascend-transformer-boostascend-transformer-boost
本项目是CANN提供的是一款高效、可靠的Transformer加速库,基于华为Ascend AI处理器,专门为Transformer模型的训练和推理而设计。
C++
46
77
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
358
2.18 K