Kong Kubernetes Ingress Controller证书配置问题解析

在Kong Kubernetes Ingress Controller的最新集成测试中，发现了一个与证书配置相关的关键问题。这个问题主要出现在使用表达式路由(expressions router)时，当同时配置消费者(consumers)和证书(certificates)时会导致配置验证失败。

问题现象

测试用例在尝试推送包含消费者和证书的配置时，Kong网关返回了"invalid declarative configuration"错误。具体错误信息表明证书实体缺少必需字段，尽管配置中已经包含了证书ID、证书内容和私钥等基本信息。

根本原因分析

深入分析后发现，问题的根源在于SNI(Server Name Indication)配置中缺少对父证书的引用。在当前的配置格式中，当在证书下配置snis字段时，每个SNI条目需要显式地包含对其所属证书的引用。

解决方案

正确的配置方式是在每个SNI条目中添加certificate字段，明确指定其所属的证书ID。例如：

certificates:
  - id: eab647a0-314a-4c26-94ec-3e9d78e4293f
    cert: "-----BEGIN CERTIFICATE-----..."
    key: "-----BEGIN RSA PRIVATE KEY-----..."
    snis:
      - name: alpha.example
        certificate:
          id: eab647a0-314a-4c26-94ec-3e9d78e4293f

技术背景

SNI是TLS协议的扩展，允许客户端在握手初期指定要连接的主机名。在Kong网关中，SNI配置与证书紧密关联，因为不同的主机名可能需要使用不同的证书。这种显式引用关系确保了配置的明确性和一致性。

影响范围

这个问题主要影响以下场景：

1. 同时配置消费者和证书时
2. 使用表达式路由模式
3. 通过声明式配置推送配置到Kong Admin API

修复状态

该问题已在Kong Kubernetes Ingress Controller的最新版本中得到修复。开发团队通过PR#6660解决了这个配置验证问题，确保了配置的兼容性和稳定性。

最佳实践建议

为避免类似问题，建议在配置Kong时：

1. 始终确保SNI条目包含对证书的显式引用
2. 在复杂配置场景下进行分段测试
3. 关注Kong网关的日志输出以获取详细的验证错误信息
4. 保持Kong和Kong Kubernetes Ingress Controller版本的兼容性