разве нет?

Кароче всё оказалось забавнее - стандартный классический ЛБ который делает по умолчанию svc loadbalancer type - ставит tcp листенеры - которые ничего никуда не пропускаю по хедерам. надо использовать network loadbalancer - создается с аннотациями:

service.beta.kubernetes.io/aws-load-balancer-proxy-protocol: "*"
service.beta.kubernetes.io/aws-load-balancer-type: nlb
service.beta.kubernetes.io/aws-load-balancer-backend-protocol: http

Я и имел в виду, что все эти радости уходят

kubernetes-incubator/cri-o tagged: v1.19.0-rc.1
Link: https://github.com/cri-o/cri-o/releases/tag/v1.19.0-rc.1
Release notes:

Bump version to 1.19-rc1

Signed-off-by: Urvashi Mohnani <umohnani@redhat.com>

kubernetes-incubator/cri-o description changed: v1.19.0-rc.1
Link: https://github.com/cri-o/cri-o/releases/tag/v1.19.0-rc.1
Release notes:

Welcome to this pre-release of CRI-O v1.19.0. Please use this version with caution and only in test environments.

service.beta.kubernetes.io/aws-load-balancer-proxy-protocol: "*"
service.beta.kubernetes.io/aws-load-balancer-type: nlb
service.beta.kubernetes.io/aws-load-balancer-backend-protocol: http

Или использовать alb балансер, он на L7 работает с http(s)

Да, но LB создаётся автоматически при создании траефик сервиса. И он ставит TCP

service.beta.kubernetes.io/aws-load-balancer-proxy-protocol: "*"
service.beta.kubernetes.io/aws-load-balancer-type: nlb
service.beta.kubernetes.io/aws-load-balancer-backend-protocol: http

TCP листенеры - это хорошо. Разбирай трафик на игнресе. Так лучше как с т.з. безопасности так и функциональности. Например вебсокет работать не будет если aws-load-balancer-backend-protocol=http. А прокидывать client ip надо с proxy protocol v2, который включается на листенерах в aws

Так оно так и есть, но он в ТСП не прокидывает x-forward-for и прочее.. поэтому и пришлось помучаться

так и не надо x-forwarded-for, клиентский айпи иначе можно получить

и даже нужно

service.beta.kubernetes.io/aws-load-balancer-backend-protocol: tcp
    service.beta.kubernetes.io/aws-load-balancer-connection-idle-timeout: "3600"
    service.beta.kubernetes.io/aws-load-balancer-cross-zone-load-balancing-enabled: "true"
    service.beta.kubernetes.io/aws-load-balancer-type: nlb

затем на таргет группах _ручками_ включаем галку proxy protocol v2 = enabled

и затем в конфигмапе nginx-ingress включаем

use-proxy-protocol: "true”

Хах)
Окей.. nlb - это не классический ЛоадБалансер - о чем я в воркераунде написал, а во вторых там траэфик

Но спасибо

для traefik будет что-то свое, но proxy protocol - это индустриальный стандарт, так что он 100% поддерживается

ты в воркераунде написал что поменял тип бекенда на хттп, именно помогло. факт замены лоадбанасера на нлб ни на что не повлияло бы

Че

service.beta.kubernetes.io/aws-load-balancer-proxy-protocol: "*"
service.beta.kubernetes.io/aws-load-balancer-type: nlb
service.beta.kubernetes.io/aws-load-balancer-backend-protocol: http

Где?

вот тут
service.beta.kubernetes.io/aws-load-balancer-backend-protocol: http