我正在使用一个入口,该入口使用Google管理的SSL证书,与此处描述的内容大致相似:
https://cloud.google.com/kubernetes-engine/docs/how-to/managed-certs#setting_up_a_google-managed_certificate
然而,我的后端服务是一个使用HTTP2的GrPC服务。根据相同的文档,如果我使用HTTP2,我的后端需要“配置SSL”。
这听起来像是我需要一组单独的证书来为我的后端服务配置SSL。
有没有办法在这里也使用相同的Google托管证书?
我在这里还有什么其他选择?我正在使用,谷歌管理的入口证书不管理任何证书对我自己来说,如果我然后使用自签名证书为我的服务,这有点违背目的。
1条答案
按热度按时间yr9zkbsy1#
我不认为它需要创建SSL的后端服务,如果你是终止HTTPS在LB级。你可以附加你的证书到LB级和后端将HTTPS〉HTTP。
您可能需要创建SSL/TLS新证书,以防您正在使用的入口控制器配置Map中存在不同版本
ssl-protocols: TLSv1.2 TLSv1.3、密码集Nginx入口控制器、Kong等。如果您正在寻找端到端HTTPS流量,您肯定需要为后端服务创建一个证书。您也可以保存托管证书和K8s密钥,并安装到部署,该部署将由服务进一步使用,在这种情况下,无需管理或创建证书。
在本例中,这将是一个端到端的HTTPS设置。
注意:要确保负载平衡器可以向后端发出正确的HTTP2请求,后端必须配置有SSL。有关接受哪些类型的证书的详细信息,请参阅从负载平衡器到后端的加密。"端到端tls似乎是HTTP2的一个要求
这是我的网站https://findmeip.com,它运行在HTTP2上,并仅在Nginx级别终止SSL/TLS。
当然,按照建议的做法进行是很好的,这样你就可以使用谷歌的ESP选项,设置GKE入口+ESP + grpc堆栈。
https://cloud.google.com/endpoints/docs/openapi/specify-proxy-startup-options?hl=tr
如果不想使用ESP,请检查以上建议:
您可以将托管证书装载到部署中,该部署将由服务进一步使用,在这种情况下,无需管理或创建证书。