Я пытаюсь настроить балансировщик нагрузки в Google Cloud, где у меня может быть несколько веб-сайтов с разными сертификатами, которые попадают на один и тот же внешний IP-адрес, а затем передаются в группы экземпляров за балансировщиком нагрузки. Проблема в том, что я вижу только, как использовать один сертификат для каждого IP-адреса. Должен ли я получать разные IP-адреса для каждого сертификата с балансировщиком нагрузки? Полагаю, я мог бы это сделать, но мы размещаем сотни сайтов и пытаемся включить SSL на всех из них, так что это кажется плохим способом.
Ищу любые предложения - спасибо!
Поскольку это определенно ограничение, в качестве обходного пути вы можете настроить Балансировщик сетевой нагрузки и настройте свой бэкэнд для работы с использованием SNI. Так как объяснено здесь ¨SNI может защитить несколько сайтов Apache с помощью одного сертификата SSL и использовать несколько сертификатов SSL для защиты различных веб-сайтов в одном домене (например, www.domain.com, sub.domain.com) или в нескольких доменах (www.domain1.com, www.domain2.com) - все с одного IP-адреса; ¨
В основном у вас есть два варианта: либо у вас есть одно имя для каждого сертификата. Тогда вам понадобится один IP-адрес на сертификат. К сожалению, это не очень хорошая идея, поскольку на планете не хватает адресов IPv4.
В качестве альтернативы вы можете использовать сертификат SAN или групповой сертификат. Сертификаты с подстановочными знаками требуют, чтобы все имена ваших хостов находились под одним и тем же доменным именем (например, www1.example.com, www2.example.com, projects.example.com и т. Д.), В то время как сертификаты альтернативного имени субъекта (SAN) могут иметь независимые имена хостов. Видеть https://en.wikipedia.org/wiki/Subject_Alternative_Name
Однако это означает, что вы должны иметь возможность выполнить один запрос сертификата для всех этих доменных имен. Давайте, например, при шифровании ограничим количество SAN до 100 на сертификат. Видеть https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769
В любом случае привязка нескольких сертификатов к одному IP-адресу в Google Cloud Load Balancer невозможна. И мне не известно о каком-либо другом серверном программном обеспечении, которое могло бы выполнять эту работу.