%204.X%3F.png)
Как использовать Ngnix в качестве обратного прокси-сервера для доступа к OpenShift (OKD) 4.X?
Я перепробовал сотни вариантов настройки обратного прокси-сервера (Nginx), и все они заканчивались ошибкой«Приложение недоступно»когда мы получаем доступ кoauth-openshift.apps.mbr.some.dmмаршрут.
ПРИМЕЧАНИЕ:Эта проблема не возникает, если мы обращаемся к этому маршруту напрямую (без использования обратного прокси-сервера).Возможно, не отправляется какая-то информация, необходимая для определения маршрута.
Это базовый шаблон конфигурации, который мы используем...
server {
access_log /var/log/nginx/apps.mbr.some.dm-access.log;
error_log /var/log/nginx/apps.mbr.some.dm-error.log;
server_name ~^(?<subdomain>.+)\.apps\.mbr\.some\.dm$;
location / {
proxy_pass https://10.2.0.18:443;
proxy_set_header Host $subdomain.apps.mbr.some.dm;
proxy_set_header X-Forward-For $proxy_add_x_forwarded_for;
}
listen 443;
ssl_certificate /etc/letsencrypt/live/apps.mbr.some.dm/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/apps.mbr.some.dm/privkey.pem;
include /etc/letsencrypt/options-ssl-nginx.conf;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
}
Мы также проверили эти параметры и столкнулись с некоторыми проблемами, как вы можете видеть ниже...
server {
[...]
location / {
[...]
proxy_ssl_certificate /etc/nginx/backend_ss_certs/apps.mbr.some.dm.crt;
proxy_ssl_certificate_key /etc/nginx/backend_ss_certs/apps.mbr.some.dm.key;
proxy_ssl_trusted_certificate /etc/nginx/backend_ss_certs/apps.mbr.some.dm.crt.key.pem;
proxy_ssl_ciphers HIGH:!aNULL:!MD5;
proxy_ssl_protocols TLSv1.2 TLSv1.3;
proxy_ssl_server_name on;
proxy_ssl_session_reuse on;
proxy_ssl_verify on;
[...]
}
[...]
}
Сертификатыприложения.mbr.some.dm.crt,apps.mbr.some.dm.key,apps.mbr.some.dm.crt.key.pemявляются самоподписанными сертификатами, используемыми OpenShift (OKD) для разрешения доступа к ресурсам (HTTPS). Однако, если мы попытаемся использовать эти сертификаты с обратным прокси-сервером (Nginx), произойдет следующая ошибка («Bad Gateway»)...
2021/07/22 17:36:11 [error] 6999#6999: *1 upstream SSL certificate verify error: (21:unable to verify the first certificate) while SSL handshaking to upstream, client: 177.25.231.233, server: ~^(?<subdomain>.+)\.apps\.mbr\.brlight\.net$, request: "GET /favicon.ico HTTP/1.1", upstream: "https://10.2.0.18:443/favicon.ico", host: "oauth-openshift.apps.mbr.some.dm", referrer: "https://oauth-openshift.apps.mbr.some.dm/oauth/authorize?client_id=console&redirect_uri=https%3A%2F%2Fconsole-openshift-console.apps.mbr.some.dm%2Fauth%2Fcallback&response_type=code&scope=user%3Afull&state=ff6f3064"
ПРИМЕЧАНИЕ:Мы протестировалиприложения.mbr.some.dm.crtиapps.mbr.some.dm.crt.key.pemсертификаты с использованиемзавитоки оба работали отлично.
ПЛЮС:Мы не смогли определить способ диагностики/наблюдения (журналы) того, что идет не так, когда запрос поступает на маршрутoauth-openshift.apps.mbr.some.dmЯ думаю, это поможет нам понять, что пошло не так.