¿Cómo utilizar Ngnix como proxy inverso para acceder a OpenShift (OKD) 4.X?

tag-icon tag-icon nginx reverse-proxy kubernetes openshift-online-2 openshift-origin
¿Cómo utilizar Ngnix como proxy inverso para acceder a OpenShift (OKD) 4.X?

¿Cómo utilizar Ngnix como proxy inverso para acceder a OpenShift (OKD) 4.X?

Probé cientos de configuraciones para el proxy inverso (Nginx) y todas fallan con el error"La aplicación no está disponible"cuando accedemos aloauth-openshift.apps.mbr.some.dmruta.

NOTA:Este problema no se produce si accedemos a esta ruta directamente (sin utilizar Reverse Proxy).Quizás no se esté enviando alguna información necesaria para resolver la ruta.

Esta es la plantilla de configuración básica que estamos usando...

server {
    access_log /var/log/nginx/apps.mbr.some.dm-access.log;
    error_log /var/log/nginx/apps.mbr.some.dm-error.log;
    server_name ~^(?<subdomain>.+)\.apps\.mbr\.some\.dm$;

    location / {
        proxy_pass https://10.2.0.18:443;
        proxy_set_header Host $subdomain.apps.mbr.some.dm;
        proxy_set_header X-Forward-For $proxy_add_x_forwarded_for;
    }

    listen 443;
    ssl_certificate /etc/letsencrypt/live/apps.mbr.some.dm/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/apps.mbr.some.dm/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
}

También probamos estos parámetros y tuvimos algunos problemas, como puedes ver a continuación...

server {
    [...]
    location / {
        [...]
        proxy_ssl_certificate /etc/nginx/backend_ss_certs/apps.mbr.some.dm.crt;
        proxy_ssl_certificate_key /etc/nginx/backend_ss_certs/apps.mbr.some.dm.key;
        proxy_ssl_trusted_certificate /etc/nginx/backend_ss_certs/apps.mbr.some.dm.crt.key.pem;
        proxy_ssl_ciphers HIGH:!aNULL:!MD5;
        proxy_ssl_protocols TLSv1.2 TLSv1.3;
        proxy_ssl_server_name on;
        proxy_ssl_session_reuse on;
        proxy_ssl_verify on;
        [...]
    }
    [...]
}

los certificadosaplicaciones.mbr.some.dm.crt,apps.mbr.alguna.dm.key,aplicaciones.mbr.some.dm.crt.key.pemson los certificados autofirmados utilizados por OpenShift (OKD) para permitir el acceso a recursos (HTTPS). Sin embargo si intentamos utilizar estos certificados con el proxy inverso (Nginx) ocurre el siguiente error ("Bad Gateway")...

2021/07/22 17:36:11 [error] 6999#6999: *1 upstream SSL certificate verify error: (21:unable to verify the first certificate) while SSL handshaking to upstream, client: 177.25.231.233, server: ~^(?<subdomain>.+)\.apps\.mbr\.brlight\.net$, request: "GET /favicon.ico HTTP/1.1", upstream: "https://10.2.0.18:443/favicon.ico", host: "oauth-openshift.apps.mbr.some.dm", referrer: "https://oauth-openshift.apps.mbr.some.dm/oauth/authorize?client_id=console&redirect_uri=https%3A%2F%2Fconsole-openshift-console.apps.mbr.some.dm%2Fauth%2Fcallback&response_type=code&scope=user%3Afull&state=ff6f3064"

NO UN:Probamos elaplicaciones.mbr.some.dm.crtyaplicaciones.mbr.some.dm.crt.key.pemcertificados usandorizoy ambos funcionaron perfectamente.

MÁS:No pudimos definir una forma de diagnosticar/observar (registros) sobre lo que sale mal cuando la solicitud llega a la ruta.oauth-openshift.apps.mbr.some.dm. Creo que esto nos ayudaría a descubrir qué está pasando.

información relacionada