如何在GKE上强制使用SSL的Kubernetes Ingress

https://github.com/kubernetes/ingress-gce#frontend-https

您可以通过注释kubernetes.io/ingress.allow-http: "false"阻止HTTP，或通过指定自定义后端将HTTP重定向到HTTPS。不幸的是，GCE目前尚不能直接为您处理L7层的重定向或重写。(请参见https://github.com/kubernetes/ingress-gce#ingress-cannot-redirect-http-to-https)

更新：现在GCP已经处理负载均衡器的重定向规则，包括HTTP到HTTPS。目前似乎没有一种方法可以通过Kubernetes YAML创建这些规则。

这个问题已经在被接受的答案的评论中正确回答了。但由于评论被埋没了，我错过了几次。

从GKE版本1.18.10-gke.600开始，您可以添加一个k8s前端配置以将http重定向到https。

https://cloud.google.com/kubernetes-engine/docs/how-to/ingress-features#https_redirect

apiVersion: networking.gke.io/v1beta1
kind: FrontendConfig
metadata:
  name: ssl-redirect
spec:
  redirectToHttps:
    enabled: true

# add below to ingress
# metadata:
#   annotations:
#     networking.gke.io/v1beta1.FrontendConfig: ssl-redirect

注释已更改：

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: test
  annotations:
    kubernetes.io/ingress.allow-http: "false"
spec:
...

这是注释更改的PR: https://github.com/kubernetes/contrib/pull/1462/files

如果您没有绑定到GCLB Ingress Controller，您可以看看Nginx Ingress Controller。这个控制器在多个方面与内置控制器不同。首先，您需要自己部署和管理它。但是，如果您愿意这样做，您将获得不依赖于GCE LB（20美元/月）并获得IPv6 / websockets支持的好处。 文档指出：
默认情况下，如果针对该入口启用了TLS，则控制器会重定向（301）到HTTPS。如果您想全局禁用该行为，则可以在NGINX配置映射中使用ssl-redirect：“false”。
最近发布的0.9.0-beta.3带有一个额外的注释，可以明确强制执行此重定向：
使用注释ingress.kubernetes.io/force-ssl-redirect强制重定向到SSL。

谷歌已回应我们的请求，并正在其负载平衡器上测试HTTP-> HTTPS SSL重定向。他们最新的回答说，在2020年1月底之前，这项功能应该会进入 Alpha 版本。
他们的评论如下：
“感谢您对此问题的耐心等待。该功能目前正在测试中，我们预计将在1月底之前进入Alpha阶段。随着我们接近Alpha发布，我们的PM团队将有更多详细信息的公告。”
我希望我们在不久的将来会有一个简单明了的解决方案来解决这个非常常见的特性。
更新（2020年4月）：
HTTP(S) rewrite现在是一个普遍可用的功能。但它还有一些缺陷，并且不幸的是，它不能与GCE Ingress Controller 进行开箱即用的工作。但时间会证明，希望会出现原生解决方案。

简要更新。 这里

现在可以创建一个FrontEndConfig来配置Ingress。希望能够帮助。

示例：

apiVersion: networking.gke.io/v1beta1
kind: FrontendConfig
metadata:
  name: my-frontend-config
spec:
  redirectToHttps:
    enabled: true
    responseCodeName: 301

您需要确保您的负载均衡器支持HTTP和HTTPS协议。

我已经长时间研究这个问题。如果有人不清楚上面的帖子，请按注释重新构建您的入口 -- kubernetes.io/ingress.allow-http: "false" -- 然后删除您的入口并重新部署。注释将使入口只为443创建负载均衡器，而不是同时为443和80创建。

然后您需要进行计算HTTP LB，而不是GKE的LB。

GUI方向： 创建一个负载平衡器并选择HTTP(S)负载平衡 - 开始配置。

选择 - 从Internet到我的VMs并继续

为LB选择一个名称

保留后端配置为空。

在主机和路径规则下，选择高级主机和路径规则，并将操作设置为重定向客户端到不同的主机/路径。 将主机重定向字段保留为空。 选择前缀重定向并将路径值保留为空。 选择308作为重定向响应代码。 勾选启用HTTPS重定向框。

对于前端配置，请将http和端口80保留，对于ip地址选择用于您的GKE入口的静态IP地址。

创建此LB。

现在您将所有http流量都发送到这里，并且308重定向到您的GKE https入口。非常简单的配置设置，并且运作良好。

注意：如果您只尝试删除GKE生成的80端口LB（而不执行注释更改和重建入口），然后添加新的重定向计算LB，它确实可以工作，但是您将开始看到关于Ingress的错误消息，显示字段'resource.ipAddress""的值无效，已在使用中，并将导致冲突，无效。它正在尝试启动80端口的LB，但无法启动，因为您已经有一个在使用相同IP的80端口的LB。它确实可以工作，但错误很烦人，而且GKE一直在尝试构建它（我想）。

感谢@Andrej Palicka的评论，根据他提供的页面：https://cloud.google.com/kubernetes-engine/docs/how-to/ingress-features#https_redirect现在我有了一个更新的且可行的解决方案。
首先，我们需要定义一个FrontendConfig资源，然后告诉Ingress资源使用这个FrontendConfig。
示例：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: myapp-app-ingress
  annotations:
    kubernetes.io/ingress.global-static-ip-name: myapp-prd
    networking.gke.io/managed-certificates: managed-cert
    kubernetes.io/ingress.class: "gce"
    networking.gke.io/v1beta1.FrontendConfig: myapp-frontend-config
spec:
  defaultBackend:
    service:
      name: myapp-app-service
      port:
        number: 80
---
apiVersion: networking.gke.io/v1beta1
kind: FrontendConfig
metadata:
  name: myapp-frontend-config
spec:
  redirectToHttps:
    enabled: true
    responseCodeName: MOVED_PERMANENTLY_DEFAULT

你可以在你的集群上禁用HTTP（请注意，你需要重新创建集群才能将此更改应用于负载均衡器），然后通过在同一IP地址上创建额外的负载均衡器设置HTTP到HTTPS的重定向。我也花了几个小时来解决同样的问题，最终采取了上述方法，它完美地工作了。

在Kubernetes中进行HTTPS重定向有点复杂。根据我的经验，你可能会想使用一个类似于Ambassador或者ingress-nginx的入口控制器来控制对你的服务的路由，而不是让负载均衡器直接路由到你的服务。

假设你正在使用一个入口控制器，那么：

• 如果你在外部负载均衡器上终止TLS并且该负载均衡器运行在L7模式（即HTTP/HTTPS），那么你的入口控制器需要使用X-Forwarded-Proto，并相应地发出重定向。
• 如果你在外部负载均衡器上终止TLS并且该负载均衡器运行在TCP/L4模式，那么你的入口控制器需要使用PROXY协议来进行重定向。
• 你也可以直接在入口控制器中终止TLS，这样它就拥有完成重定向所需的所有信息。

这里有一个关于如何在Ambassador中进行此操作的教程。