我正在使用 EKS/Fargate 进行 K8s 部署并使用 AWS Load Balancer Controller。很少有用例需要支持相互身份验证。在我看来,ALB 中而不是 AWS 网关中不支持相互身份验证。即使网关支持它,也有一个限制,即它不能用作每个 API 的单独证书。因此,我正在寻找在 ALB 中卸载 TLS 并将证书传递给后端以进行相互身份验证的选项。在 Nginx 控制器中寻找类似的选项,如 here 所述。
这是注释。
nginx.ingress.kubernetes.io/auth-tls-pass-certificate-to-upstream
我也知道,如果我们使用 NLB,这可以通过 TLS 终止在 POD 级别直接完成。但是,我们强制执行来自 AWS 的某些 WAF 规则,这些规则在第 4 层中不可用。因此请寻找您的意见。不确定 ALB 控制器将来是否计划有这样的功能。