업스트림을 통해 여러 대상 (응용 프로그램 서버)에 대한로드 균형 조정을 수행하는 API에 kong 게이트웨이를 성공적으로 설치했습니다.Kong - 업스트림 ssl (ssl_proxy on)
이제 응용 프로그램 서버에 대해 자체 서명 된 인증서 이 있습니다. kong과 대상 사이에서 ssl 핸드 셰이크가 실패해야합니다. 나는 kong이 업스트림 인증서를 확인하지 않는다고 추론했다.
일부 연구를 마친 후, 올바르게 수행 할 수있는 nginx에 대해 ssl_proxy on; 구성을 찾았습니다.
나는 upstreamrests SSL 인증서를 확인하기 위해 openresty에서 해당 기능을 찾고 싶습니다.
해결 방법은을 활성화하기 위해 kong nginx 구성을 수정할 수 있지만 동일한 인스턴스에서 다른 대상을 쓰러 트릴 수 있습니다.
다른 방법으로해야 할 것입니다. 백엔드 서비스에서 Kong이 서비스에 연결할 때 특정 SSL 인증서가 있는지 확인하여 사실상 Kong만이 서비스에 연결할 수있게합니다. 모든 API 클라이언트는 Kong을 통해 연결해야합니다.
우리했다 wicked.haufe.io를 들어, 홍콩 0.11.0와 함께, 당신은 여기에 적합한 nginx_conf.lua 파일을 찾을 수 : https://github.com/apim-haufe-io/wicked.kong/blob/master/templates/nginx_kong.lua가
흥미로운 비트가 여기에 있습니다 :
proxy_ssl_certificate /root/proxy-cert.pem;
proxy_ssl_certificate_key /root/proxy-key.pem;
지정 어느 nginx가 백엔드 서비스에 대한 프록시 호출을하기 위해 사용하는 인증서와 키. 이것은 Kong가주의를 기울입니다.
wicked.haufe.io의 Kong 도커 이미지에 대해 수행 한 작업을 확인하면 자신의 필요에 따라 조정할 수 있습니다. 다른 재미있는 비트는 startup.sh이며 인증서/키는 환경 변수에서 추출되고 /root/proxy-...pem 파일에 추가됩니다.
도움이 되길, Martin.
공지 홍콩 구성 client_ssl에 대한 코멘트 :
If 'client_ssl' is enabled, the absolute path to the client SSL certificate for the 'proxy_ssl_certificate directive. Note that this value is statically defined on the node, and currently cannot be configured on a per-API basis.
그것은하실 수 없습니다.