Назад | Перейти на главную страницу

Используете «Let's Encrypt» TLS с балансировщиком нагрузки Google? (Kubernetes / GKE)

Я пытался протестировать Kubernetes в Google Cloud, но мне понадобится HTTPS / TLS (только), доступный в развернутом приложении. Для начала я просто следовал этому руководству, которое отлично работало для простого HTTP через порт 80: https://cloud.google.com/kubernetes-engine/docs/quickstart

Чтобы получить поддержку TLS, работающую с Давайте зашифровать, Я пробовал (безуспешно):

... Есть ли у кого-нибудь предложения о том, как использовать только HTTPS для исходного руководства? Нет необходимости в простом HTTP, если это не халява, но я действительно ломаю голову над этим, так как раньше я не работал с Kubernetes, и мне не удалось заставить Let's Encrypt работать здесь.

Итак, оказывается, что теперь вы можете просто добавить TLS прямо в балансировщик нагрузки, и он автоматически выдаст сертификат Let's Encrypt. Это можно сделать через Cloud Console:

Понятия не имею, почему это не так хорошо известно.

Вы можете следовать инструкциям Вот для создания Kubernetes Ingress с сертификатом, управляемым Google. На высоком уровне это включает два этапа:

  1. Создайте ресурс ManagedCertificate (это бета-функция в GKE)
  2. Использовать networking.gke.io/managed-certificates аннотация в манифесте Ingress, указывающая на управляемый сертификат, созданный на шаге 1

Google автоматически создаст для вас сертификат, используя один из двух центров сертификации. Если вы непреклонны в использовании Let's Encrypt, вы можете добавить Запись CAA в вашу зону DNS следующим образом:

your_domain. CAA 0 issue "letsencrypt.org"

В качестве альтернативы, если ваше приложение уже запущено и работает в GKE и находится за существующим Global HTTP Load Balancer, вы можете следовать инструкциям. Вот чтобы добавить управляемый Google сертификат в балансировщик нагрузки. Конечный результат по сути один и тот же, независимо от того, какой метод вы используете.