Kubernetes AWS负载均衡控制器中HSTS头配置的正确方式

在使用Kubernetes AWS负载均衡控制器(aws-load-balancer-controller)配置应用负载均衡器(ALB)时，为HTTPS监听器添加HTTP严格传输安全(HSTS)头是一个常见的安全加固需求。HSTS头可以强制客户端(如浏览器)只通过HTTPS与服务器通信，防止降级攻击。

问题现象

许多用户在尝试通过Ingress注解配置HSTS头时遇到了配置失败的问题。典型的错误配置方式包括：

1. 使用双引号包裹整个键值对：

alb.ingress.kubernetes.io/listener-attributes.HTTPS-443: routing.http.response.strict_transport_security.header_value="max-age=600"

2. 使用单引号包裹双引号的值：

alb.ingress.kubernetes.io/listener-attributes.HTTPS-443: 'routing.http.response.strict_transport_security.header_value="max-age=600"'

这些配置会导致AWS ALB API返回验证错误，提示"header_value包含无效字符"，因为控制器会自动为值添加额外的引号。

正确配置方法

经过验证，正确的配置方式是直接使用键值对，不添加任何引号：

alb.ingress.kubernetes.io/listener-attributes.HTTPS-443: routing.http.response.strict_transport_security.header_value=max-age=600

这种配置方式会被控制器正确处理，不会添加额外的引号字符，能够成功在ALB上设置HSTS头。

技术原理

AWS负载均衡控制器在处理监听器属性时，会对注解值进行解析并转换为AWS API调用。当值中包含引号时，控制器会保留这些引号作为值的一部分，导致最终传递给AWS API的值包含了多余的引号字符，违反了AWS API的输入验证规则。

HSTS头的值本身是一个简单的字符串，格式通常为"max-age=SECONDS"，不需要额外的引号包裹。AWS ALB服务会正确处理这种格式的值，并在响应头中生成正确的Strict-Transport-Security头。

最佳实践

1. 对于简单的键值对属性，避免在注解值中使用引号
2. 测试配置时，可以通过AWS控制台或CLI验证ALB的监听器属性是否设置正确
3. 监控控制器日志，及时发现配置错误
4. 设置适当的max-age值，平衡安全性和灵活性

总结

在Kubernetes AWS负载均衡控制器中配置HSTS头时，开发者应该避免在注解值中手动添加引号。直接使用简单的键值对格式是最可靠的方式。这一经验也适用于其他类似的ALB监听器属性配置，理解控制器的注解处理机制有助于避免类似的配置问题。