我正在通过 NGINX 在谷歌云 kubernetes 基础架构中运行自签名证书后面的 restfull 服务。 Kubernetes 服务加载器公开 443 并路由这些容器的流量。除了要求内部客户忽略自签名证书警告之外,一切都按预期工作! 现在是转移到 CA 证书的时候了,因此据我所知,唯一的选择是 https 加载器,但我无法弄清楚我们如何将流量重新路由到服务加载器或直接到 pod 作为服务加载器(http 加载器)
感谢任何帮助
【问题讨论】:
标签: docker google-cloud-platform kubernetes google-kubernetes-engine
更新防火墙规则:
IP: 130.211.0.0/22
tcp:30000-32767
创建NodePort类型的服务:
apiVersion: v1
kind: Service
metadata:
name: yourservicenodeport
labels:
name: your-service-node-port
spec:
type: NodePort
ports:
- port: 80
nodePort: 30001
selector:
name: yourpods
创建健康检查。
对于本例中的节点端口:30001
创建入口服务:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: youTheking-ingress-service
spec:
backend:
serviceName: yourservice
servicePort: 80
等待几分钟,耐心等待。
更改 http 负载均衡器的健康检查。
一个。转到网络选项卡上的负载平衡。
b.点击高级菜单。
c。去后端服务和编辑。
d。更新健康检查选项并使用为 nodeport 服务创建的选项。
重复步骤 5 以识别实例组的运行状况。
需要SSL,回到负载均衡器,编辑,点击前端配置,然后添加带有证书的https。
你准备好了。
【讨论】:
nodePort(本例中为30001),路径/是GCP创建的,不需要做。
我不确定我是否完全理解您的问题,但无论如何我都会尝试回答。
您有两个选项可以使用由受信任的 CA 签名的证书来公开您的服务:
做你今天正在做的事情,但要使用真正的证书。您可能希望将证书放入一个秘密中,并将您的 nginx 配置指向它以加载证书。
将 nginx 替换为 google L7 负载均衡器。您将证书上传到 google,配置 L7 平衡器以终止 HTTPS 并将流量转发到您的后端。
【讨论】:
NodePort 服务,然后配置 L7 服务以将流量分散到集群中分配给服务。