首页
/ 解决kube-hetzner项目中HTTPS负载均衡服务配置问题

解决kube-hetzner项目中HTTPS负载均衡服务配置问题

2025-06-27 15:05:57作者:董斯意

在Kubernetes集群中使用kube-hetzner项目部署应用时,许多开发者会遇到HTTPS负载均衡服务配置不当的问题。本文将深入分析这一常见问题的根源,并提供正确的解决方案。

问题现象分析

当开发者在kube-hetzner项目中配置TLS证书时,通常会观察到以下异常现象:

  1. 负载均衡器仅创建HTTP(80端口)服务,缺少HTTPS(443端口)服务
  2. 修改负载均衡算法类型后,HTTPS服务短暂出现但随后消失
  3. 系统日志显示证书查找失败的错误信息

这些问题的本质在于TLS终止点的选择冲突,即同时尝试在Hetzner负载均衡器和Kubernetes Ingress两个层面进行TLS终止。

技术背景解析

kube-hetzner项目默认集成了cert-manager和NGINX Ingress Controller,这为集群提供了完整的证书管理和入口流量控制能力。项目设计时推荐使用"TLS终止于Ingress"的架构模式,这种模式具有以下优势:

  1. cert-manager自动管理证书的签发、续期和轮换
  2. NGINX Ingress Controller统一处理所有入口流量
  3. 应用服务只需关注业务逻辑,无需处理TLS相关配置
  4. 证书以Secret形式存储在集群内部,安全性更高

错误配置剖析

常见错误配置是在定义Kubernetes Service资源时同时设置了:

type: LoadBalancer
annotations:
  load-balancer.hetzner.cloud/protocol: "https"

这种配置会导致以下问题:

  1. 向Hetzner云控制器发出矛盾指令,要求负载均衡器自身处理TLS
  2. 控制器会在Hetzner Cloud项目中查找证书,而实际证书由cert-manager存储在Kubernetes Secret中
  3. 两个TLS终止点相互干扰,造成服务不稳定

正确配置方案

正确的架构应该明确分层:

  1. 入口层:由kube-hetzner自动创建的LoadBalancer处理
  2. 路由层:NGINX Ingress Controller负责流量路由和TLS终止
  3. 应用层:标准ClusterIP服务暴露应用

具体配置调整如下:

  1. 将应用服务改为ClusterIP类型:
apiVersion: v1
kind: Service
metadata:
  name: web
spec:
  selector:
    app: web
  ports:
    - port: 80
      targetPort: 3333
  type: ClusterIP
  1. 确保Ingress资源正确配置TLS:
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: web
  annotations:
    kubernetes.io/ingress.class: "nginx"
spec:
  tls:
    - hosts:
        - example.com
      secretName: tls
  rules:
    - host: example.com
      http:
        paths:
          - path: /
            pathType: Prefix
            backend:
              service:
                name: web
                port:
                  number: 80
  1. 确保证书签发配置正确:
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: web-cert
spec:
  secretName: tls
  issuerRef:
    name: letsencrypt-prod
    kind: ClusterIssuer
  dnsNames:
    - example.com

架构优势说明

采用这种分层架构具有多方面优势:

  1. 简化证书管理:cert-manager自动处理Let's Encrypt证书的整个生命周期
  2. 统一入口点:所有流量通过Ingress Controller进入,便于实施统一策略
  3. 资源高效利用:避免在负载均衡器和Ingress两个层面重复处理TLS
  4. 配置清晰:各层职责明确,便于维护和故障排查

常见问题排查

如果按照上述配置后仍遇到问题,可以检查以下方面:

  1. 确保证书签发成功:检查cert-manager的Certificate和Order资源状态
  2. 验证Secret是否生成:检查指定名称的tls Secret是否存在
  3. 检查Ingress Controller日志:查看是否有TLS相关错误
  4. 确认DNS解析:确保域名正确解析到负载均衡器IP

通过理解kube-hetzner项目的设计理念和正确配置各层组件,开发者可以构建出稳定、安全的HTTPS服务架构,充分发挥Kubernetes和Hetzner云平台的优势。

登录后查看全文
热门项目推荐

项目优选

收起
openHiTLS-examplesopenHiTLS-examples
本仓将为广大高校开发者提供开源实践和创新开发平台,收集和展示openHiTLS示例代码及创新应用,欢迎大家投稿,让全世界看到您的精巧密码实现设计,也让更多人通过您的优秀成果,理解、喜爱上密码技术。
C
49
337
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
348
382
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
872
517
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
179
263
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
131
184
kernelkernel
deepin linux kernel
C
22
5
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
7
0
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
335
1.09 K
harmony-utilsharmony-utils
harmony-utils 一款功能丰富且极易上手的HarmonyOS工具库,借助众多实用工具类,致力于助力开发者迅速构建鸿蒙应用。其封装的工具涵盖了APP、设备、屏幕、授权、通知、线程间通信、弹框、吐司、生物认证、用户首选项、拍照、相册、扫码、文件、日志,异常捕获、字符、字符串、数字、集合、日期、随机、base64、加密、解密、JSON等一系列的功能和操作,能够满足各种不同的开发需求。
ArkTS
32
0
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.08 K
0