Доброе утро, мне нужна помощь, чтобы разобраться в настройке балансировки нагрузки HTTPS.
На данный момент у меня есть только один экземпляр vm (стек debian lemp с nginx и без apache), загруженный в вычислительный движок, с установленной зоной DNS. Все работает нормально, но балансировки нагрузки у меня еще нет.
Насчет балансировки нагрузки переднего конца https для меня более или менее ясно, но в отношении бэкенда https у меня есть некоторые сомнения.
На данный момент файл конфигурации nginx default_ssl.vhost настроен следующим образом: `server {listen 443 http2 ssl; #listen [::]: 443 ssl; название сервера _; включить /jet/etc/nginx/conf.d/document_root.settings;
ssl_certificate "/jet/etc/letsencrypt/live/odisseo.io/fullchain.pem";
ssl_certificate_key "/jet/etc/letsencrypt/live/odisseo.io/privkey.pem";
# ssl params
include /jet/etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /jet/etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
# Load configuration files for the default server block.
include /jet/etc/nginx/conf.d/*.inc;
include /jet/etc/nginx/sites-enabled/*;
} `
мои вопросы: как только я закончу настройку внутренней части балансировки нагрузки https с помощью самоуправляемых сертификатов Google на вычислительном движке, как мне изменить файл конфигурации default_ssl.vhost nginx? Потому что я читал, что сертификаты после успешной самоуправляемой процедуры могут быть удалены. Нужно ли мне настраивать прокси для файла default_ssl.vhost nginx conf? если да, то как нужно настроить весь файл?
Последний вопрос: в сетевом облаке DNS в вычислительном движке, на данный момент у меня есть тип записи A со статическим IP-адресом экземпляра vm, как только я закончу настройку балансировки нагрузки https переднего и заднего конца, мне придется изменить этот IP адрес с новым статическим внешним IP-адресом?
Заранее спасибо за помощь.
Особенность балансировщиков нагрузки Google состоит в том, что вам не нужно устанавливать сертификат SSL на сервере. Балансировщик нагрузки шифрует весь трафик между подсистемой балансировки нагрузки и внутренними экземплярами.
Чтобы использовать балансировку нагрузки HTTPS или SSL, необходимо связать хотя бы один сертификат SSL с целевым прокси-сервером балансировщика нагрузки. Для каждого сертификата SSL вы сначала создаете «ресурс сертификата SSL», который будет содержать информацию сертификата SSL.
Вы можете найти более подробную информацию по этому поводу в Официальная документация
Что касается вашего второго вопроса: то, что вы сказали, верно, вы должны изменить свою запись A, чтобы она соответствовала вашему доменному имени с IP-адресом внешнего интерфейса Load Balancer.
Когда у вас есть SSL, работающий на уровне Google Load Balancer, вы можете безопасно удалить любые настройки SSL из конфигурации nginx. Точно так же - как только ваш GLB включен, вам необходимо обновить настройки DNS, чтобы они указывали на общедоступный IP-адрес балансировщика нагрузки.
Балансировщик нагрузки будет эффективно работать как точка входа для ваших пользователей и отключать SSL. Оттуда вы можете добавить множество экземпляров GCE в свой балансировщик нагрузки, сделав их частью группы с балансировкой нагрузки. Эта страница довольно ясно объясняет концепции.
Я бы посоветовал вам использовать Terraform для управления ресурсами GCP проще объединить все и управлять своими ресурсами декларативно