我想弄清楚如何最好地在 Jelastic 上托管的 k8s 集群上安装 SSL。我在这里找到了一些关于如何让证书管理器在 k8s 集群上工作的很好的提示(无论主机提供商如何)。
我现在担心的是,我不能 100% 确定我是否需要 letencrypt 或者我是否可以使用默认的 SSL 安装。查看此自述文件的底部(最后一段),我发现我必须能够将它安装在我的集群上。从 Jelastic 仪表板来看,我完全不知道我可以这样做。插件图标出现在 Workers 和 Storage 节点上。通过该图标,在这两种情况下,我都看不到 letencrypt 插件。
这里的最佳做法是什么?我如何启动并运行它?首先,默认安装的 nginx 入口控制器不符合我们的安全要求。其次,默认情况下,我们添加到此 Jelastic 环境的任何子域都不会获得必要的 ssl 证书。我该如何解决这个问题?
让我解释一下 SSL。您 100% 正确,在 Jelastic 的 K8s 中如何处理 SSL 至少有两种选择。
简要地:
1) 将 SSL 部署到 SLB(通过 API或通过LE 插件)。LE 插件 + SLB 组合现在仅供私有云客户使用(即将支持公共云)。通过这种方式,您可以使用 https2http 终止将请求从 SLB 转发到 K8s 集群(因此您的入口控制器将仅侦听 http)。
2) 直接使用认证管理器将 SSL 部署到 K8s。Jelastic 中最新版本的K8s支持此功能。为了能够使用此方法,需要在所有工作节点上附加公共 IP(因为它们具有入口控制器的直接侦听器)。在这种情况下,SSL 证书颁发将由使用专用注释的入口规则触发。推荐并认为此方法更安全。您的 K8s 集群将接受端口 443 上的直接连接,每个公开的服务可能都有专用的 ACME 入口进行验证。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句