Как установить letsencrypt в моем кластере jelasti c kubernetes?

Question

Я пытаюсь выяснить, как лучше всего установить SSL на моем кластере k8s, размещенном на Jelasti c. Я нашел несколько хороших советов здесь о том, как заставить cert-manager работать на кластере k8s в целом (независимо от хост-провайдера).

Теперь я обеспокоен тем, что я не на 100% уверен, нужно ли мне letsencrypt или если бы я мог go с установкой SSL по умолчанию. Глядя на нижнюю часть (последний абзац) этого файла README , я вижу, что я должен иметь возможность установить его на своем кластере. С панели управления Jelasti c совсем не очевидно, что я могу это сделать. Значок надстроек появляется на узлах Workers и Storage. И через этот значок в обоих случаях я не вижу аддона letsencrypt.

Какая здесь лучшая практика? Как мне это запустить? Во-первых, установленный по умолчанию входной контроллер nginx не соответствует нашим требованиям безопасности. Во-вторых, любой поддомен, который мы добавляем в эту среду Jelasti c, по умолчанию не получает необходимых ssl-сертификатов. Как мне обойти это?

Answer 1

Позвольте мне пролить свет на SSL. Вы на 100% правы, что есть по крайней мере два варианта того, как SSL можно обрабатывать в K8s Jelasti c.

Кратко:

1) Развертывание SSL на SLB ( через API или через LE addon ). Комбинация LE addon + SLB теперь доступна только для Private Cloud клиентов (поддержка для Publi c Cloud скоро будет). Таким образом, вы можете пересылать свои запросы в ваш кластер K8s из SLB, используя завершение https2http (поэтому ваш входной контроллер будет прослушивать только http).

2) Разверните SSL на K8s напрямую, используя менеджер сертификации. Последняя версия K8s в Jelasti c поддерживает это. Чтобы использовать этот метод, необходимо подключить Publi c IP на всех рабочих узлах (так как они имеют прямые прослушиватели входных контроллеров). В этом случае выдача SSL-сертификата будет инициирована правилом входа, в котором используется выделенная аннотация. Этот метод рекомендуется и считается более безопасным. Ваш кластер K8s будет принимать прямые соединения через порт 443, каждая открытая служба может иметь выделенный вход ACME для проверки.