Kubernetes включить сервис для HTTPS - PullRequest
0 голосов
/ 30 сентября 2018

У меня есть Google Kubernetes Engine с приложением, которое имеет конечную точку общедоступной службы.Но я хотел бы изменить конечную точку с http: // ... на защищенный https: //.

Какой самый простой способ сделать это?

Я предполагаю, что мне нужно каким-то образом заставить организацию выдать мне какой-то сертификат для моего домена.В таком случае я должен использовать IP-адрес конечной точки 35.XXX или использовать домен, например mydomain.com?

Спасибо

1 Ответ

0 голосов
/ 30 сентября 2018

Есть несколько способов сделать это.Вот некоторые из них:

  1. Простой способ - создать внешний балансировщик нагрузки GCP уровня 7 и заставить его завершить работу вашего SSL с вашими собственными сертификатами, а затем создать службу NodePort для прослушивания вашего трафика (non-TLS) и перенаправьте балансировщик нагрузки уровня 7 на NodePort на всех компьютерах кластера.Недостатком этого решения будет то, что ваш внутренний кластерный трафик будет не-TLS, но вы можете не заботиться об этом, если не реализуете соответствие.

LB

Другой способ - просто позволить приложению в модуле обрабатывать SSL напрямую и настроить модуль на прослушивание через порт 443 и выставить его на балансировщик нагрузки GCP уровня 4 на порту 443.

Другим способом (который предпочтителен в более поздних версиях Kubernetes) является использование того же внешнего 35.X.X.X внешнего IP-адреса, который по существу является балансировщиком нагрузки уровня 4 и имеет Kubernetes Ingress прослушивания вашего трафика иручка TLS .

Обратите внимание, что все это становится немного сложнее, если вы хотите реализовать TLS от начала до конца.

...