{"id":6619,"date":"2020-03-11T17:16:29","date_gmt":"2020-03-11T15:16:29","guid":{"rendered":"https:\/\/u-labs.de\/portal\/?p=6619"},"modified":"2020-03-11T17:17:13","modified_gmt":"2020-03-11T15:17:13","slug":"doppelter-hostname-in-header-bei-kubernetes-ingress-backend-connections-component-pack-bad-request","status":"publish","type":"post","link":"https:\/\/u-labs.de\/portal\/doppelter-hostname-in-header-bei-kubernetes-ingress-backend-connections-component-pack-bad-request\/","title":{"rendered":"Doppelter Hostname in Header bei Kubernetes Ingress Backend – Connections Component Pack: Bad Request"},"content":{"rendered":"

F\u00fcr eine Connections 6.5 Testinstallation wurde der IBM HTTP Server hinter einem Standard Kubernetes Ingress betrieben. Bis zur Installation des Component Pack funktionierte dies: Auf der OrientMe-Seite waren keine Inhalte zu sehen, sondern die o.g. Fehlermeldung. Mehrere Ajax-Anfragen endeten mit einem 500er internen Serverfehler. In der Fehlerlog vom IHS sind folgende Eintr\u00e4ge zu sehen:<\/p>\n

[Fri Mar 06 09:30:27 2020] [debug] vhost.c(791): [client 1.2.3.4:54252] [strict] Invalid host name 'cnx65.k8s.internal cnx65.k8s.internal', problem near: , cnx6\n[Fri Mar 06 09:30:27 2020] [debug] vhost.c(886): [client 1.2.3.4:54252] Client sent malformed Host header: cnx65.k8s.internal cnx65.k8s.internal\n[Fri Mar 06 09:30:27 2020] [debug] protocol.c(1412): [client 1.2.3.4:54252] client sent HTTP\/1.1 request without hostname (see RFC2616 section 14.23): \/search\/atom\/mysearch<\/code><\/pre>\n
Das Problem wurde durch eine Verkettung verschiedener Umst\u00e4nde verursacht: Anfragen des Component-Pack erhalten einen X-Forwarded-Host<\/strong> Header. Er ist daf\u00fcr gedacht, um den anfragenden Host hinter einem Reverse Proxy zu \u00fcbermitteln. In der aktuellen Version 6.5.0.0 des Component Pack ist dieser fehlerhaft und enth\u00e4lt den Connections Hostname doppelt mit Komma getrennt – beispielsweise<\/p>\n
x-forwarded-host: cnx65.k8s.internal, cnx65.k8s.internal<\/code><\/pre>\n
Dies ist zwar fehlerhaft, aber nicht zwingend ein Problem. Das wird es erst durch das Standardverhalten vom Kubernetes Ingress<\/a>: Dieser setzt den X-Forwarded-Host<\/strong> Header automatisch als Host-Header. Der Host<\/strong> Header ist jedoch nicht optional sondern essenziell, da er z.B. zur Zuordnung von virtuellen Hosts genutzt wird. Durch dieses Verhalten erh\u00e4lt der IHS hinter dem Ingress folgende Anfrage:<\/p>\n
GET \/xyz\nHost: cnx65.k8s.internal, cnx65.k8s.internal\n...<\/code><\/pre>\n
Somit entsteht die obige Fehlermeldung \u00fcber den ung\u00fcltigen Host-Header. Der IHS bricht die Abfrage darauf hin mit einem 500 Fehlercode ab.<\/p>\n
L\u00f6sung: Host auf den Eintrag im Host-Header setzen<\/h2>\n
Die L\u00f6sung ist im Grunde recht simpel: Der Ingress-Reverseproxy vor dem IHS muss angepasst werden, sodass er den Hostname in den Host-Header schreibt – anstelle des X-Forwarded-Host<\/strong> Headers. Hierzu ediert man den entsprechenden Ingress – hier external-service<\/strong>:<\/p>\n
kubectl edit ing external-service<\/code><\/pre>\n
Unterhalb von metadata.annotations<\/strong> muss folgendes Snippet eingef\u00fcgt werden:<\/p>\n
metadata:\n  annotations:\n    nginx.ingress.kubernetes.io\/configuration-snippet: |\n      more_clear_input_headers "Host" "X-Forwarded-Host";\n      proxy_set_header Host $http_host;\n      proxy_set_header X-Forwarded-Host $http_x_forwarded_host;<\/code><\/pre>\n
Damit wird sichergestellt, dass der Host<\/strong>-Header auf den tats\u00e4chlichen Host gesetzt ist. Ferner \u00fcbermitteln wir den X-Forwarded-Host<\/strong> Header in seiner urspr\u00fcnglichen Form. Letzteres ist nicht zwingend notwendig, aber schadet auch nicht. M\u00f6glicherweise wird der Header zuk\u00fcnftig verwendet.<\/p>\n
Nach dem Speichern (in vim<\/strong> mit [ESC]<\/strong> den Ediermodus verlassen, dann :wq<\/strong>) die Seite neu laden – und OrientMe zeigt Inhalte statt Fehler:<\/p>\n
\"\"<\/figure>\n","protected":false},"excerpt":{"rendered":"
F\u00fcr eine Connections 6.5 Testinstallation wurde der IBM HTTP Server hinter einem Standard Kubernetes Ingress betrieben. Bis zur Installation des Component Pack funktionierte dies: Auf der OrientMe-Seite waren keine Inhalte zu sehen, sondern die o.g. Fehlermeldung. Mehrere Ajax-Anfragen endeten mit einem 500er internen Serverfehler. In der Fehlerlog vom IHS sind folgende Eintr\u00e4ge zu sehen: Das …<\/p>\n","protected":false},"author":5,"featured_media":6620,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[765,5],"tags":[792,760,793,794,719],"class_list":["post-6619","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hcl-connections","category-news","tag-hcl-component-pack","tag-hcl-connections","tag-ingress","tag-k8s","tag-kubernetes"],"_links":{"self":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/6619","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/comments?post=6619"}],"version-history":[{"count":6,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/6619\/revisions"}],"predecessor-version":[{"id":6627,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/6619\/revisions\/6627"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media\/6620"}],"wp:attachment":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media?parent=6619"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/categories?post=6619"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/tags?post=6619"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}