解决kube-hetzner项目中HTTPS负载均衡服务配置问题

在Kubernetes集群中使用kube-hetzner项目部署应用时，许多开发者会遇到HTTPS负载均衡服务配置不当的问题。本文将深入分析这一常见问题的根源，并提供正确的解决方案。

问题现象分析

当开发者在kube-hetzner项目中配置TLS证书时，通常会观察到以下异常现象：

1. 负载均衡器仅创建HTTP(80端口)服务，缺少HTTPS(443端口)服务
2. 修改负载均衡算法类型后，HTTPS服务短暂出现但随后消失
3. 系统日志显示证书查找失败的错误信息

这些问题的本质在于TLS终止点的选择冲突，即同时尝试在Hetzner负载均衡器和Kubernetes Ingress两个层面进行TLS终止。

技术背景解析

kube-hetzner项目默认集成了cert-manager和NGINX Ingress Controller，这为集群提供了完整的证书管理和入口流量控制能力。项目设计时推荐使用"TLS终止于Ingress"的架构模式，这种模式具有以下优势：

1. cert-manager自动管理证书的签发、续期和轮换
2. NGINX Ingress Controller统一处理所有入口流量
3. 应用服务只需关注业务逻辑，无需处理TLS相关配置
4. 证书以Secret形式存储在集群内部，安全性更高

错误配置剖析

常见错误配置是在定义Kubernetes Service资源时同时设置了：

type: LoadBalancer
annotations:
  load-balancer.hetzner.cloud/protocol: "https"

这种配置会导致以下问题：

1. 向Hetzner云控制器发出矛盾指令，要求负载均衡器自身处理TLS
2. 控制器会在Hetzner Cloud项目中查找证书，而实际证书由cert-manager存储在Kubernetes Secret中
3. 两个TLS终止点相互干扰，造成服务不稳定

正确配置方案

正确的架构应该明确分层：

1. 入口层：由kube-hetzner自动创建的LoadBalancer处理
2. 路由层：NGINX Ingress Controller负责流量路由和TLS终止
3. 应用层：标准ClusterIP服务暴露应用

具体配置调整如下：

1. 将应用服务改为ClusterIP类型：

apiVersion: v1
kind: Service
metadata:
  name: web
spec:
  selector:
    app: web
  ports:
    - port: 80
      targetPort: 3333
  type: ClusterIP

2. 确保Ingress资源正确配置TLS：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: web
  annotations:
    kubernetes.io/ingress.class: "nginx"
spec:
  tls:
    - hosts:
        - example.com
      secretName: tls
  rules:
    - host: example.com
      http:
        paths:
          - path: /
            pathType: Prefix
            backend:
              service:
                name: web
                port:
                  number: 80

3. 确保证书签发配置正确：

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: web-cert
spec:
  secretName: tls
  issuerRef:
    name: letsencrypt-prod
    kind: ClusterIssuer
  dnsNames:
    - example.com

架构优势说明

采用这种分层架构具有多方面优势：

1. 简化证书管理：cert-manager自动处理Let's Encrypt证书的整个生命周期
2. 统一入口点：所有流量通过Ingress Controller进入，便于实施统一策略
3. 资源高效利用：避免在负载均衡器和Ingress两个层面重复处理TLS
4. 配置清晰：各层职责明确，便于维护和故障排查

常见问题排查

如果按照上述配置后仍遇到问题，可以检查以下方面：

1. 确保证书签发成功：检查cert-manager的Certificate和Order资源状态
2. 验证Secret是否生成：检查指定名称的tls Secret是否存在
3. 检查Ingress Controller日志：查看是否有TLS相关错误
4. 确认DNS解析：确保域名正确解析到负载均衡器IP

通过理解kube-hetzner项目的设计理念和正确配置各层组件，开发者可以构建出稳定、安全的HTTPS服务架构，充分发挥Kubernetes和Hetzner云平台的优势。