我有一个Google Kubernetes Engine,其应用程序具有公共服务 endpoints . 但我想将 endpoints 从http:// ...更改为安全的https:// .
最简单的方法是什么?
我假设我需要以某种方式让一个实体为我的域发给我某种证书 . 如果是这种情况,我应该使用35.X.X.X endpoints IP还是使用域名如mydomain.com?
谢谢
有多种方法可以做到这一点 . 这里有一些:
NodePort
另一种方法是让pod中的应用程序直接处理SSL并将pod设置为侦听端口443并将其暴露在端口443上的第4层GCP负载均衡器上 .
另一种方式(在以后的Kubernetes版本中首选)是使用相同的 35.X.X.X 外部IP,它基本上是第4层负载均衡器,并且Kubernetes Ingress监听您的流量并处理TLS .
35.X.X.X
请注意,如果要实现端到端的TLS,这一切都会变得有点棘手 .
1 回答
有多种方法可以做到这一点 . 这里有一些:
NodePort服务来监听您的流量(非TLS)并将第7层负载均衡器转发到NodePort在所有群集计算机上 . 此解决方案的缺点是您的内部群集流量将是非TLS,但除非您实施合规性,否则您可能不关心这一点 .另一种方法是让pod中的应用程序直接处理SSL并将pod设置为侦听端口443并将其暴露在端口443上的第4层GCP负载均衡器上 .
另一种方式(在以后的Kubernetes版本中首选)是使用相同的
35.X.X.X外部IP,它基本上是第4层负载均衡器,并且Kubernetes Ingress监听您的流量并处理TLS .请注意,如果要实现端到端的TLS,这一切都会变得有点棘手 .