HAproxy作为堡垒机/集群网关的证书身份转发配置求助

阿华AIGC实验室

2026-5-13

解决K8s内部节点通过HAproxy访问带证书认证的私有镜像仓库的400错误问题

先看你的日志关键信息："CONNECT externalFQDN:443 HTTP/1.1"，这说明K8s内部节点的容器运行时（Docker/containerd）是把HAproxy当成HTTP代理发送CONNECT请求，目的是建立到私有镜像仓库的TCP隧道，但你当前的HAproxy配置用了mode http却没正确处理CONNECT请求，同时绑定在443端口，这直接导致了400 Bad Request错误。

下面给你两个适配场景的可行解决方案：

方案一：将HAproxy配置为TCP负载均衡（推荐，无需节点代理配置）

这种方式不需要在内部节点设置HTTPS_PROXY，而是通过DNS解析把私有镜像仓库的域名指向HAproxy的内部IP，HAproxy直接转发TCP流量到真实仓库，同时用边缘节点的证书完成认证。

修改你的haproxy.cfg：

frontend ft_registry_tcp
    bind <boxIP>:443  # 监听边缘节点的443端口，对应镜像仓库的HTTPS端口
    mode tcp
    default_backend bk_registry_tcp

backend bk_registry_tcp
    mode tcp
    balance roundrobin
    # 配置与私有仓库通信的SSL证书和CA
    server registry_alias-0 <registryIP>:443 ssl ca-file /fullyqualified/ca.crt crt /fullyqualified/file.pem check
    server registry_alias-1 <registryIP2>:443 ssl ca-file /fullyqualified/ca.crt crt /fullyqualified/file.pem check

后续操作：

在K8s集群的CoreDNS或者每个节点的hosts文件中，把私有镜像仓库的externalFQDN解析到HAproxy的<boxIP>。
确保内部节点能访问HAproxy的443端口。

这样内部节点拉取镜像时，会直接连接HAproxy，HAproxy再用自己的证书和私有仓库建立SSL连接，完成认证和镜像拉取。

方案二：将HAproxy配置为支持CONNECT的HTTP代理

如果你必须用HTTPS_PROXY的方式，需要调整HAproxy配置来正确处理CONNECT请求：

修改haproxy.cfg：

frontend ft_proxy
    bind <boxIP>:8080  # 监听专门的HTTP代理端口，避免和HTTPS请求混淆
    mode http
    # 匹配CONNECT请求，转发到TCP backend
    acl is_connect method CONNECT
    use_backend bk_registry_tcp if is_connect

backend bk_registry_tcp
    mode tcp
    balance roundrobin
    server registry_alias-0 <registryIP>:443 ssl ca-file /fullyqualified/ca.crt crt /fullyqualified/file.pem check
    server registry_alias-1 <registryIP2>:443 ssl ca-file /fullyqualified/ca.crt crt /fullyqualified/file.pem check

更新内部节点的代理配置：

在/etc/systemd/system/docker.service.d/http-proxy.conf中设置：

HTTPS_PROXY=http://<boxIP>:8080
NO_PROXY=localhost,127.0.0.1,cluster.local  # 排除集群内部地址

重启Docker/containerd服务：systemctl daemon-reload && systemctl restart docker

为什么之前的配置会报错？

你用了mode http但没有配置规则处理CONNECT请求，HAproxy会把CONNECT当成普通HTTP请求处理，直接返回400。
绑定443端口却没有启用SSL（bind指令没加ssl参数），但客户端发送的是明文HTTP的CONNECT请求，HAproxy在443端口收到明文请求会解析失败。

另外你提到的Docker pull-through cache确实只支持公共镜像仓库，对于需要证书认证的私有仓库不适用，所以不用考虑这个方案。

内容的提问来源于stack exchange，提问作者TinaC