アップストリーム経由で複数のターゲット(アプリケーションサーバー)にロードバランスするAPI用のkongゲートウェイを正常にインストールしました。アップストリームssl(ssl_proxy on)
私のアプリケーションサーバーには自己署名証明書があります。kongとターゲットの間でsslハンドシェイクが失敗するはずです。私はkongが上流の証明書を確認しないと推測しました。
いくつかの調査が終わった後、私はssl_proxy on;のnginxの設定が正しいと判断しました。
私は上流のSSL証明書を確認するためにopenrestyに相当するものを探しています。
解決策は、ssl_proxyを有効にするにはkong nginxの設定を変更することができますが、同じインスタンス上のさまざまなターゲットには戸惑う可能性があります。
私はあなたのバックエンドサービスで、Kongが特定のSSL証明書をサービスに渡していることを確認して、実際にKongだけがサービスに接続できるようにします。すべてのAPIクライアントはKong経由で接続する必要があります。
我々は香港0.11.0で、wicked.haufe.ioのためにやったことを、あなたはここで、適切なnginx_conf.luaファイルを見つけることができます:https://github.com/apim-haufe-io/wicked.kong/blob/master/templates/nginx_kong.lua
をここで興味深いのビットは次のとおりです。
指定proxy_ssl_certificate /root/proxy-cert.pem;
proxy_ssl_certificate_key /root/proxy-key.pem;
nginxがバックエンドサービスへのプロキシ呼び出しを行うために使用する証明書とキー。これはKongが耳を傾ける。
wicked.haufe.ioのKongドッカーの画像で行ったことを確認することで、自分のニーズに適応できるはずです。もう1つ興味深いビットはstartup.shで、証明書/キーは環境変数から抽出され、/root/proxy-...pemファイルに追加されます。
希望は、マーティン。
お知らせ香港構成でclient_sslにコメント:
If 'client_ssl' is enabled, the absolute path to the client SSL certificate for the 'proxy_ssl_certificate directive. Note that this value is statically defined on the node, and currently cannot be configured on a per-API basis.
それは現在のところ不可能です。