Давайте зашифруем, Kubernetes и Traefik на GKE

Question

Я пытаюсь настроить Traefik в Kubernetes с включенным Let's Encrypt.Вчера мне удалось получить первый SSL-сертификат от Let's Encrypt, но я немного застрял в том, как хранить сертификаты SSL.

Я могу создать том для хранения сертификатов Traefik, но это будет означать, что яограничен одной репликой (при наличии нескольких реплик я не могу получить сертификат, так как в большинстве случаев проверка проходит неправильно из-за того, что том не является общим).

Я прочитал, что Traefik можетиспользовать что-то вроде Consul, но мне интересно, если мне нужно настроить / запустить полный кластер Consul, чтобы просто сохранить извлеченные сертификаты и т. д .?

Answer 1

Вы можете настроить вход с контроллером и подать заявку на сертификат SSL для давайте шифрования.

Вы можете использовать эмитент кластера для управления сертификатами SSL и хранить этот сертификат TLS на входе. Вы также можете использовать разныеВходящие контроллеры, такие как nginx, также могут использовать сервисный мессидж istio.

Для более подробной информации вы можете проверить: https://docs.traefik.io/user-guide/kubernetes/

Answer 2

Вы можете хранить сертификат в секрете kubernetes и ссылаться на этот секрет в своем входе.

spec:
  tls:
  - secretName: testsecret

Секрет должен находиться в том же пространстве имен, в котором выполняется вход. См. Также https://docs.traefik.io/user-guide/kubernetes/#add-a-tls-certificate-to-the-ingress