解决kube-hetzner项目中HTTPS负载均衡服务配置问题

2025-06-27 17:15:49作者：董斯意

在Kubernetes集群中使用kube-hetzner项目部署应用时，许多开发者会遇到HTTPS负载均衡服务配置不当的问题。本文将深入分析这一常见问题的根源，并提供正确的解决方案。

问题现象分析

当开发者在kube-hetzner项目中配置TLS证书时，通常会观察到以下异常现象：

负载均衡器仅创建HTTP(80端口)服务，缺少HTTPS(443端口)服务
修改负载均衡算法类型后，HTTPS服务短暂出现但随后消失
系统日志显示证书查找失败的错误信息

这些问题的本质在于TLS终止点的选择冲突，即同时尝试在Hetzner负载均衡器和Kubernetes Ingress两个层面进行TLS终止。

技术背景解析

kube-hetzner项目默认集成了cert-manager和NGINX Ingress Controller，这为集群提供了完整的证书管理和入口流量控制能力。项目设计时推荐使用"TLS终止于Ingress"的架构模式，这种模式具有以下优势：

cert-manager自动管理证书的签发、续期和轮换
NGINX Ingress Controller统一处理所有入口流量
应用服务只需关注业务逻辑，无需处理TLS相关配置
证书以Secret形式存储在集群内部，安全性更高

错误配置剖析

常见错误配置是在定义Kubernetes Service资源时同时设置了：

type: LoadBalancer
annotations:
  load-balancer.hetzner.cloud/protocol: "https"

这种配置会导致以下问题：

向Hetzner云控制器发出矛盾指令，要求负载均衡器自身处理TLS
控制器会在Hetzner Cloud项目中查找证书，而实际证书由cert-manager存储在Kubernetes Secret中
两个TLS终止点相互干扰，造成服务不稳定

正确配置方案

正确的架构应该明确分层：

入口层：由kube-hetzner自动创建的LoadBalancer处理
路由层：NGINX Ingress Controller负责流量路由和TLS终止
应用层：标准ClusterIP服务暴露应用

具体配置调整如下：

将应用服务改为ClusterIP类型：

apiVersion: v1
kind: Service
metadata:
  name: web
spec:
  selector:
    app: web
  ports:
    - port: 80
      targetPort: 3333
  type: ClusterIP

确保Ingress资源正确配置TLS：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: web
  annotations:
    kubernetes.io/ingress.class: "nginx"
spec:
  tls:
    - hosts:
        - example.com
      secretName: tls
  rules:
    - host: example.com
      http:
        paths:
          - path: /
            pathType: Prefix
            backend:
              service:
                name: web
                port:
                  number: 80

确保证书签发配置正确：

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: web-cert
spec:
  secretName: tls
  issuerRef:
    name: letsencrypt-prod
    kind: ClusterIssuer
  dnsNames:
    - example.com