すべてのプロダクト
Search
ドキュメントセンター

Container Service for Kubernetes:Container Service for Kubernetes: MSE Ingress ゲートウェイでサポートされるアノテーション

最終更新日:Mar 26, 2026

Microservices Engine (MSE) Ingress ゲートウェイは、NGINX Ingress ゲートウェイのコアおよび一般的なアノテーションをサポートしており、シームレスな移行が可能です。また、MSE Ingress ゲートウェイは、トラフィックガバナンスおよびセキュリティ保護機能を追加することで、NGINX アノテーションを拡張しています。

NGINX Ingress ゲートウェイから MSE Ingress ゲートウェイへ移行する場合は、本ページをアノテーション互換性のリファレンスとしてご活用ください。**[互換]** とマークされたアノテーションについては、変更は不要です。**[部分的に互換]** とマークされたアノテーションについては、移行前に記載されている制限事項をご確認ください。

アノテーション機能の概要

標準の Kubernetes Ingress は、レイヤー 7 の HTTP トラフィックに対して、トランスポート層セキュリティ (TLS) 暗号化および単純なルーティング機能のみを提供します。Ingress コントローラーでは、通常、アノテーションを使用して、トラフィックガバナンスおよびセキュリティ保護のための Ingress 機能を拡張します。

アノテーション対応状況のまとめ

NGINX Ingress アノテーション

カテゴリ件数説明
対応済み51利用ケースの 90 % をカバー
機能への影響なし15構成設定は不要
今後対応予定48限定的なシナリオでの対応を計画中
非対応5NGINX Ingress の内部実装に特化した機能

MSE 拡張アノテーション

カテゴリ件数説明
拡張済み40NGINX Ingress が提供する機能を超えた、トラフィックガバナンスおよびセキュリティ保護のための追加アノテーション

アノテーションのプレフィックス

MSE Ingress ゲートウェイは、NGINX Ingress アノテーションと同等の機能を持つアノテーションを提供します。たとえば、nginx.ingress.kubernetes.io/xxx および mse.ingress.kubernetes.io/xxx は同一の機能を持ちます。どちらのプレフィックス(nginx または mse)を使用するかは、ご要件に応じてお選びください。

例外: MSE 専用のアノテーションについては、mse プレフィックスのみが有効です。nginx プレフィックスは、これらのアノテーションにおいて mse プレフィックスを代替できません。

アノテーションの適用範囲

範囲効果
IngressIngress リソースで定義されたルーティングルールに適用されます
ドメイン名Ingress リソースで定義されたホストに適用されます。他の Ingress リソースで定義された同一ホストにも適用されます
サービスIngress リソースで定義されたサービスに適用されます。他の Ingress リソースで定義された同一サービスにも適用されます

トラフィックガバナンス

カナリアリリース

これらのアノテーションを併用して、サービスのバージョン間でトラフィックを分割します。

アノテーション範囲対応状況説明
nginx.ingress.kubernetes.io/canaryIngress互換性ありカナリアリリースを有効化します。true を設定すると、この Ingress がカナリア Ingress としてマークされます。
nginx.ingress.kubernetes.io/canary-by-headerIngress対応トラフィック分割に使用するリクエストヘッダーのキーです。
nginx.ingress.kubernetes.io/canary-by-header-valueIngress互換性ありトラフィック分割に使用するリクエストヘッダーの値です。完全一致がサポートされます。
nginx.ingress.kubernetes.io/canary-by-header-patternIngress互換トラフィック分割に使用するリクエストヘッダーの値です。正規表現によるマッチがサポートされます。
mse.ingress.kubernetes.io/canary-by-queryIngressMSE 専用トラフィック分割に使用する URL クエリパラメーターのキーです。
mse.ingress.kubernetes.io/canary-by-query-valueIngressMSE 専用トラフィック分割に使用する URL クエリパラメーターの値です。完全一致がサポートされます。
mse.ingress.kubernetes.io/canary-by-query-patternIngressMSE 専用トラフィック分割に使用する URL クエリパラメーターの値です。正規表現によるマッチがサポートされます。
nginx.ingress.kubernetes.io/canary-by-cookieIngress互換性ありトラフィック分割に使用するリクエストクッキーのキーです。
mse.ingress.kubernetes.io/canary-by-cookie-valueIngressMSE 専用(ゲートウェイ V1.2.30 以降が必要)トラフィック分割に使用するリクエストクッキーの値です。完全一致がサポートされます。
nginx.ingress.kubernetes.io/canary-weightIngress互換性ありトラフィック分割におけるサービスの重みです。
nginx.ingress.kubernetes.io/canary-weight-totalIngress互換性ありすべてのサービスにわたる合計重みです。

マルチサービスルーティング

単一の Ingress から、重み付けに基づいて複数のバックエンドサービスへトラフィックをルーティングします。このアノテーションを設定すると、Ingress 上のすべてのルーティングルールの送信先サービスが上書きされます。

アノテーション範囲対応状況説明
mse.ingress.kubernetes.io/destinationIngressMSE 専用重み付きサービスディストリビューション。形式: {weight}% {serviceName}.{serviceNamespace}.svc.cluster.local:{port}。構文が無効な場合、アノテーションは無視され、元のルーティングルールは変更されません。

例:

annotations:
  # 60 % のトラフィックを foo に、40 % を bar にルーティングします。
  mse.ingress.kubernetes.io/destination: |
    60% foo.default.svc.cluster.local:8080
    40% bar.default.svc.cluster.local:9090

サービスサブセット

サービス内の特定の Pod サブセットへリクエストをルーティングします。これは、1 つのサービスが異なるラベルを持つ複数のデプロイメントを管理する場合に有効です。

アノテーション範囲対応状況説明
mse.ingress.kubernetes.io/service-subsetIngressMSE 専用(ゲートウェイ V1.2.25 以降が必要)リクエストをルーティングするサブセットを指定します。下記のサブセットルーティングルールをご参照ください。
mse.ingress.kubernetes.io/subset-labelsIngressMSE 専用(ゲートウェイ V1.2.25 以降が必要)(任意)Pod をサブセットに分類するためのラベルセレクターです。service-subset と併用します。

サブセットルーティングルール:

  • subset-labels が **設定されていない場合**、ルーティングは service-subset の値に基づきます:

    • "" または base → ラベル opensergo.io/canary: "" を持つ Pod、または opensergo.io/canary で始まるラベルを一切持たない Pod。

    • その他の任意の値(例: gray)→ ラベル opensergo.io/canary-gray: gray を持つ Pod。

  • subset-labels が設定されている場合、指定された Key:Value ラベルに一致する Pod にのみリクエストが転送されます。

指定されたラベルに一致する Pod が存在しない場合、リクエストは自動的にサービス内のすべての Pod に転送されます。

フォールバックサービス

プライマリバックエンドが利用不可になった場合に、リクエストをフォールバックサービスへリダイレクトします。

アノテーション範囲対応状況説明
nginx.ingress.kubernetes.io/default-backendIngress互換性ありプライマリサービスに健全なノードが存在しない場合に、リクエストを受け取るフォールバックサービスです。
nginx.ingress.kubernetes.io/custom-http-errorsIngress対応default-backend と併用します。バックエンドが指定された HTTP ステータスコードを返した場合、元のリクエストがフォールバックサービスへ転送されます。
重要

リクエストがフォールバックサービスへ転送される際、リクエストパスは / に書き換えられます。この動作は NGINX Ingress ゲートウェイと一致します。

正規表現マッチ

アノテーション範囲対応状況説明
nginx.ingress.kubernetes.io/use-regexIngress対応Ingress で定義されたパスに対し、RE2 構文を使用した正規表現マッチングを有効にします。

書き換え

アノテーション範囲対応状況説明
nginx.ingress.kubernetes.io/rewrite-targetIngress互換性あり書き換え操作の送信先パスです。キャプチャグループがサポートされます。
nginx.ingress.kubernetes.io/upstream-vhostIngress互換性あり一致したリクエストがバックエンドサービスへ転送される際に、Host ヘッダーの値を上書きします。

リダイレクト

アノテーション範囲対応状況説明
nginx.ingress.kubernetes.io/ssl-redirectIngress互換性ありHTTP リクエストを HTTPS へリダイレクトします。
nginx.ingress.kubernetes.io/force-ssl-redirectIngress互換性ありHTTP から HTTPS へのリダイレクトを強制します。
nginx.ingress.kubernetes.io/permanent-redirectIngress互換性あり恒久的なリダイレクトの送信先 URL です。
nginx.ingress.kubernetes.io/permanent-redirect-codeIngress対応恒久的なリダイレクトの HTTP ステータスコードです。
nginx.ingress.kubernetes.io/temporal-redirectIngress互換性あり一時的なリダイレクトの送信先 URL です。
nginx.ingress.kubernetes.io/app-rootIngress互換性あり/ からのリクエストを指定されたアプリケーションルートパスへリダイレクトします。

CORS

アノテーション範囲対応状況説明
nginx.ingress.kubernetes.io/enable-corsIngress互換性ありオリジン間リソース共有 (CORS) を有効化します。
nginx.ingress.kubernetes.io/cors-allow-originIngress互換ありCORS で許可される第三者オリジンです。
nginx.ingress.kubernetes.io/cors-allow-methodsIngress対応CORS リクエストで許可される HTTP メソッド(例: GET、POST、PUT)です。
nginx.ingress.kubernetes.io/cors-allow-headersIngress互換性ありCORS で許可されるリクエストヘッダーです。
nginx.ingress.kubernetes.io/cors-expose-headersIngress互換性ありブラウザに公開される応答ヘッダーです。
nginx.ingress.kubernetes.io/cors-allow-credentialsIngress互換CORS リクエストに認証情報を含めることを許可するかどうかを指定します。
nginx.ingress.kubernetes.io/cors-max-ageIngress互換性ありプリフライト結果をキャッシュする最大期間(秒単位)です。

ヘッダー制御

ベースルートおよびカナリアルート向けのヘッダー制御ポリシーは独立しています。ベーストラフィックおよびカナリアトラフィックに異なるヘッダー操作ルールを適用するには、それぞれ別途構成してください。

すべてのヘッダー制御アノテーションは、Ingress 範囲の MSE 専用アノテーションです。複数のヘッダーを設定するには、YAML ブロックリテラル(|)を使用し、各 key: value ペアを個別の行に記述します。

アノテーション説明
mse.ingress.kubernetes.io/request-header-control-addバックエンドサービスへ転送されるリクエストにヘッダーを追加します。既に同名のヘッダーが存在する場合、新しい値は元の値に追加されます。
mse.ingress.kubernetes.io/request-header-control-updateバックエンドサービスへ転送されるリクエストのヘッダーを変更します。既に同名のヘッダーが存在する場合、新しい値で元の値が上書きされます。
mse.ingress.kubernetes.io/request-header-control-removeリクエストからヘッダーを削除します。単一のキー、またはカンマ(,)で区切られた複数のキーを指定できます。
mse.ingress.kubernetes.io/response-header-control-addバックエンドサービスから受信した応答をクライアントへ転送する前にヘッダーを追加します。既に同名のヘッダーが存在する場合、新しい値は元の値に追加されます。
mse.ingress.kubernetes.io/response-header-control-updateバックエンドサービスから受信した応答のヘッダーを変更します。既に同名のヘッダーが存在する場合、新しい値で元の値が上書きされます。
mse.ingress.kubernetes.io/response-header-control-remove応答からヘッダーを削除します。単一のキー、またはカンマ(,)で区切られた複数のキーを指定できます。

例 — 複数のリクエストヘッダー:

annotations:
  mse.ingress.kubernetes.io/request-header-control-add: |
    x-custom-header: value1
    x-another-header: value2
  mse.ingress.kubernetes.io/request-header-control-remove: x-remove-me,x-also-remove

タイムアウト

アノテーション範囲対応状況説明
mse.ingress.kubernetes.io/timeoutIngressMSE 専用リクエストのタイムアウト(秒単位)。デフォルトではタイムアウトは設定されません。
タイムアウトは、TCP トランスポート層ではなく、アプリケーション層(HTTP)で適用されます。

リトライ

アノテーション範囲対応状況説明
nginx.ingress.kubernetes.io/proxy-next-upstream-triesIngress対応最大リトライ回数です。デフォルト値: 3
nginx.ingress.kubernetes.io/proxy-next-upstream-timeoutIngress互換性ありリトライ試行のタイムアウト(秒単位)。デフォルトではタイムアウトは設定されません。
nginx.ingress.kubernetes.io/proxy-next-upstreamIngress互換性ありリトライをトリガーする条件です。詳細については、「NGINX リトライ条件」をご参照ください。

トラフィックミラーリング

本番環境への影響を及ぼさずに、実際のトラフィックの一部をシャドウサービスへミラーしてテストを行います。

アノテーション範囲対応状況説明
mse.ingress.kubernetes.io/mirror-target-serviceIngressMSE 専用ミラーされたトラフィックの送信先サービスです。フォーマット: 名前空間/名前:ポート名前空間 および ポート フィールドは任意です。名前空間 は Ingress ゲートウェイの名前空間がデフォルト、ポート は最初のポートがデフォルトです。
mse.ingress.kubernetes.io/mirror-percentageIngressMSE 専用(ゲートウェイ V1.2.32 以降が必要)ミラーするトラフィックの割合です。有効値: 0100。デフォルト値: 100

ドメインエイリアス

アノテーション範囲対応状況説明
nginx.ingress.kubernetes.io/server-aliasドメイン名部分的に互換(ゲートウェイ V1.2.30 以降が必要。完全一致およびワイルドカードドメインのみサポート)Ingress スペックで定義されたホストのドメインエイリアスです。エイリアスは、ソースドメインと TLS、ルーティング、およびトラフィックガバナンスの構成を共有します。

単一ゲートウェイの速度制限(非推奨)

これらの単一ゲートウェイの速度制限アノテーションは非推奨となります。代わりに、グローバル速度制限 アノテーションをご利用ください。
アノテーション範囲対応状況説明
mse.ingress.kubernetes.io/route-limit-rpmIngressMSE 専用ゲートウェイごとの最大リクエスト数/分(RPM)。バースト制限 = 値 × route-limit-burst-multiplier。トリガー時の応答本文: local_rate_limited。ステータスコード: 503(V1.2.23 より前のゲートウェイ)または 429(V1.2.23 以降のゲートウェイ)。
mse.ingress.kubernetes.io/route-limit-rpsIngressMSE 専用ゲートウェイごとの最大リクエスト数/秒(RPS)。バースト制限 = 値 × route-limit-burst-multiplier。トリガー時の応答本文: local_rate_limited。ステータスコード: 503(V1.2.23 より前のゲートウェイ)または 429(V1.2.23 以降のゲートウェイ)。
mse.ingress.kubernetes.io/route-limit-burst-multiplierIngressMSE 専用バースト制限の乗数です。デフォルト値: 5

グローバル速度制限(推奨)

これらのアノテーションは、ゲートウェイ V1.2.25 以降が必要です。rate-limit-fallback-custom-response-code および rate-limit-fallback-redirect-url は相互排他であり、いずれか一方のみを指定してください。

アノテーション範囲対応状況説明
mse.ingress.kubernetes.io/rate-limitIngressMSE 専用ルートごとの最大 RPS です。グローバル速度制限に使用されます。
mse.ingress.kubernetes.io/rate-limit-fallback-custom-response-codeIngressMSE 専用速度制限がトリガーされた際に返される HTTP ステータスコードです。デフォルト値: 429rate-limit-fallback-redirect-url とは相互排他です。
mse.ingress.kubernetes.io/rate-limit-fallback-custom-response-body-typeIngressMSE 専用速度制限がトリガーされた際の応答本文のフォーマットです。texttext/plain; charset=UTF-8jsonapplication/json; charset=UTF-8。デフォルト値: text
mse.ingress.kubernetes.io/rate-limit-fallback-custom-response-bodyIngressMSE 専用速度制限がトリガーされた際の応答本文の内容です。デフォルト値: sentinel rate limited
mse.ingress.kubernetes.io/rate-limit-fallback-redirect-urlIngressMSE 専用速度制限がトリガーされた際のリダイレクト URL です。rate-limit-fallback-custom-response-code とは相互排他です。

例 — 速度制限時にカスタム JSON エラーを返す:

annotations:
  mse.ingress.kubernetes.io/rate-limit: "100"
  mse.ingress.kubernetes.io/rate-limit-fallback-custom-response-code: "429"
  mse.ingress.kubernetes.io/rate-limit-fallback-custom-response-body-type: json
  mse.ingress.kubernetes.io/rate-limit-fallback-custom-response-body: '{"error":"rate limit exceeded"}'

グローバル同時実行制御

これらのアノテーションは、ゲートウェイ V1.2.25 以降が必要です。concurrency-limit-fallback-custom-response-code および concurrency-limit-fallback-redirect-url は相互排他であり、いずれか一方のみを指定してください。

アノテーション範囲対応状況説明
mse.ingress.kubernetes.io/concurrency-limitIngressMSE 専用ルートごとの最大同時実行リクエスト数です。
mse.ingress.kubernetes.io/concurrency-limit-fallback-custom-response-codeIngressMSE 専用同時実行制御がトリガーされた際に返される HTTP ステータスコードです。デフォルト値: 429concurrency-limit-fallback-redirect-url とは相互排他です。
mse.ingress.kubernetes.io/concurrency-limit-fallback-custom-response-body-typeIngressMSE 専用同時実行制御がトリガーされた際の応答本文のフォーマットです。texttext/plain; charset=UTF-8jsonapplication/json; charset=UTF-8。デフォルト値: text
mse.ingress.kubernetes.io/concurrency-limit-fallback-custom-response-bodyIngressMSE 専用同時実行制御がトリガーされた際の応答本文の内容です。デフォルト値: sentinel rate limited
mse.ingress.kubernetes.io/concurrency-limit-fallback-redirect-urlIngressMSE 専用同時実行制御がトリガーされた際のリダイレクト URL です。concurrency-limit-fallback-custom-response-code とは相互排他です。

バックエンドプロトコル

アノテーション範囲対応状況説明
nginx.ingress.kubernetes.io/backend-protocolサービス部分的に互換(AJP および FCGI は非対応)バックエンドサービスで使用されるプロトコルです。デフォルト値: HTTP。有効値: HTTPHTTP2HTTPSgRPCgRPCS

負荷分散

アノテーション範囲対応状況説明
nginx.ingress.kubernetes.io/load-balanceサービス部分的に互換(指数加重移動平均 (EWMA) は非対応。デフォルトで round-robin にフォールバック)バックエンドサービスの負荷分散アルゴリズムです。デフォルト値: round_robin。有効値: round_robin(ラウンドロビン)、least_conn(最少接続数)、random(ランダム)。
nginx.ingress.kubernetes.io/upstream-hash-byサービス部分的に互換(NGINX 変数と定数の組み合わせは非対応)一貫性のあるハッシュ化アルゴリズムです。サポートされるハッシュキー: $request_uri(パラメーターを含むリクエストパス)、$host(リクエストホスト)、$remote_addr(クライアント IP アドレス)、$http_<headerName>(リクエストヘッダーの値)、$arg_<varName>(URL クエリパラメーターの値)。

サービスプリフェッチ(グレースフル起動)

アノテーション範囲対応状況説明
mse.ingress.kubernetes.io/warmupサービスMSE 専用ウォームアップの持続時間(秒単位)です。デフォルトでは、サービスプリフェッチ機能は無効です。
重要

サービスプリフェッチを利用するには、負荷分散アルゴリズムとして round-robin または least connections を指定する必要があります。他のアルゴリズムではサポートされません。

クッキーによるセッション保持

アノテーション範囲対応状況説明
nginx.ingress.kubernetes.io/affinityサービス互換性ありセッション保持のタイプです。有効な値は cookie のみです。
nginx.ingress.kubernetes.io/affinity-modeサービス部分的に互換(persistent モードは非対応)セッション保持のモードです。有効な値は balanced のみです。
nginx.ingress.kubernetes.io/session-cookie-nameサービス対応済みセッション保持のハッシュキーとして使用されるクッキー名です。
nginx.ingress.kubernetes.io/session-cookie-pathサービス互換性あり生成されたセッションクッキーに設定されるパスです。デフォルト値: /
nginx.ingress.kubernetes.io/session-cookie-max-ageサービス対応生成されたセッションクッキーの最大有効期限(秒単位)です。デフォルト値: セッションレベル(Max-Age は設定されません)。
nginx.ingress.kubernetes.io/session-cookie-expiresサービス互換性あり生成されたセッションクッキーの有効期限(秒単位)です。デフォルト値: セッションレベル(Expires は設定されません)。

IP アドレスベースのアクセス制御

ルートレベルのアクセス制御は、ドメインレベルのアクセス制御よりも優先されます。ルートレベルのポリシー内では、denylist-source-rangeblacklist-source-range よりも優先されます。

アノテーション範囲対応状況説明
nginx.ingress.kubernetes.io/whitelist-source-rangeIngress互換性ありルート向けの IP アドレスホワイトリストです。IP アドレスおよび CIDR ブロックをカンマで区切って指定できます。
nginx.ingress.kubernetes.io/denylist-source-rangeIngress互換(ゲートウェイ V1.2.31 以降が必要)ルート向けの IP アドレスブラックリストです。IP アドレスおよび CIDR ブロックをカンマで区切って指定できます。mse.ingress.kubernetes.io/blacklist-source-range よりも優先されます。
mse.ingress.kubernetes.io/blacklist-source-rangeIngressMSE 専用ルート向けの IP アドレスブラックリストです。IP アドレスおよび CIDR ブロックをカンマで区切って指定できます。
mse.ingress.kubernetes.io/domain-whitelist-source-rangeIngressMSE 専用ドメインレベルで適用される IP アドレスホワイトリストです。ルートレベルのホワイトリストが優先されます。
mse.ingress.kubernetes.io/domain-blacklist-source-rangeIngressMSE 専用ドメインレベルで適用される IP アドレスブラックリストです。ルートレベルのブラックリストが優先されます。

接続プール(ゲートウェイからバックエンドへ)

アノテーション範囲対応状況説明
mse.ingress.kubernetes.io/connection-policy-tcp-max-connectionサービスMSE 専用ゲートウェイとバックエンドサービス間の TCP 接続の最大総数です。
mse.ingress.kubernetes.io/connection-policy-tcp-max-connection-per-endpointサービスMSE 専用ゲートウェイと単一のバックエンドエンドポイント間の TCP 接続の最大数です。
mse.ingress.kubernetes.io/connection-policy-http-max-request-per-connectionサービスMSE 専用ゲートウェイとバックエンドサービス間の TCP 接続あたりの最大 HTTP リクエスト数です。

セキュリティ保護

クライアントからゲートウェイへの TLS

アノテーション範囲対応状況説明
mse.ingress.kubernetes.io/tls-min-protocol-versionドメイン名MSE 専用最小 TLS バージョンです。デフォルト値: TLSv1.0。有効値: TLSv1.0TLSv1.1TLSv1.2TLSv1.3
mse.ingress.kubernetes.io/tls-max-protocol-versionドメイン名MSE 専用最大 TLS バージョンです。デフォルト値: TLSv1.3。有効値: TLSv1.0TLSv1.1TLSv1.2TLSv1.3
nginx.ingress.kubernetes.io/ssl-cipherドメイン名互換TLS 暗号スイートです。カンマで区切ります。TLS 1.0–1.2 のハンドシェイク時のみ適用されます。デフォルトの暗号スイート: ECDHE-ECDSA-AES128-GCM-SHA256ECDHE-RSA-AES128-GCM-SHA256ECDHE-ECDSA-AES128-SHAECDHE-RSA-AES128-SHAAES128-GCM-SHA256AES128-SHAECDHE-ECDSA-AES256-GCM-SHA384ECDHE-RSA-AES256-GCM-SHA384ECDHE-ECDSA-AES256-SHAECDHE-RSA-AES256-SHAAES256-GCM-SHA384AES256-SHA
mse.ingress.kubernetes.io/auth-tls-secretドメイン名部分的に互換(シークレット名は <ドメイン証明書シークレット名>-cacert の形式である必要があります)相互 TLS(mTLS)ハンドシェイク時に、クライアント証明書を検証するためにゲートウェイが使用する CA 証明書です。

例 — TLS 1.2 以降を必須とし、特定の暗号スイートを指定:

annotations:
  mse.ingress.kubernetes.io/tls-min-protocol-version: TLSv1.2
  mse.ingress.kubernetes.io/tls-max-protocol-version: TLSv1.3
  nginx.ingress.kubernetes.io/ssl-cipher: ECDHE-RSA-AES256-GCM-SHA384,ECDHE-ECDSA-AES256-GCM-SHA384

ゲートウェイからバックエンドへの TLS

アノテーション範囲対応状況説明
nginx.ingress.kubernetes.io/proxy-ssl-secretサービス互換性ありゲートウェイが相互認証のためにバックエンドサービスに提示するクライアント証明書です。
nginx.ingress.kubernetes.io/proxy-ssl-nameサービス互換性ありバックエンドサービスとの TLS ハンドシェイク時に送信されるサーバ名表示(SNI)値です。
nginx.ingress.kubernetes.io/proxy-ssl-server-nameサービス互換性ありバックエンドサービスとの TLS ハンドシェイク時に SNI を有効化します。

認証

MSE Ingress は HTTP ベーシック認証をサポートしています。これらのアノテーションを併用して、シークレット名、フォーマット、および任意のレルムを構成します。

アノテーション範囲対応状況説明
nginx.ingress.kubernetes.io/auth-typeIngress部分的に互換(basic のみ対応)認証タイプです。
nginx.ingress.kubernetes.io/auth-secretIngress互換認証情報が格納された Kubernetes シークレットです。フォーマット: <名前空間>/<名前>
nginx.ingress.kubernetes.io/auth-secret-typeIngress互換シークレットのデータ形式です。auth-file: auth キーに改行区切りの username:password エントリが格納されます。auth-map: 各キーがユーザー名、その値がパスワードになります。
nginx.ingress.kubernetes.io/auth-realmIngress互換性あり認証レルムです。同一レルム内のルート間で認証情報が共有されます。

NGINX Ingress アノテーションの詳細については、「アノテーション」をご参照ください。