Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

5.7.7. HAProxy Strict SNI

默认情况下,当主机没有解析为 HTTPS 或 TLS SNI 请求的路由时,默认证书会作为 503 响应的一部分返回到调用者。这会公开默认证书,并可能会造成安全问题,因为网站提供了错误的证书。用于绑定的 HAProxy strict-sni 选项会阻止使用默认证书。

ROUTER_STRICT_SNI 环境变量控制绑定处理。当设置为 trueTRUE 时,在 HAProxy 绑定中添加 strict-sni。默认设置为 false

可以在路由器创建或稍后添加时设置 选项。

$ oc adm router --strict-sni

This sets ROUTER_STRICT_SNI=true.