我有一個 GKE 集群、外部域名和 letencrypt 證書。當我使用負載均衡器并指示 pod 使用我使用 certbot 生成的證書時,性能非常好。但是我必須手動更新證書,這需要付出很多努力。
當使用入口控制器并讓 cert-manager 自行更新證書時,額外的躍點會增加延遲并使流量路徑更加復雜。然后從客戶端到入口的連接在 h2 上,然后從入口到 Pod 的連接變成純 HTTP。
使用 nginx 入口控制器時有什么方法可以消除額外的躍點并解決性能問題?
uj5u.com熱心網友回復:
如果您將證書管理器與入口一起使用,則沒有額外的躍點。
您可以使用證書管理器,它將證書保存為秘密并附加到入口。但是,您在哪里執行 TLS 終止取決于您。
如果您在入口級別支持的流量上進行 TLS 終止,直到 POD 將是純HTTP,您還可以繞過 HTTPS 流量直到 POD 進行端到端加密。
Internet > ingress (TLS in secret) > Plain HTTP if you terminate > service > PODs
如果您想將證書使用到 POD 中,您可以將秘密安裝到 POD 中,應用程式將進一步使用它。
https://kubernetes.io/docs/concepts/configuration/secret/#using-secrets-as-files-from-a-pod
如果您將秘密與 POD 一起使用,您可能需要重新加載 POD,在這種情況下,您可以使用 Reloader 自動推出 POD。
重新加載器:https ://github.com/stakater/Reloader
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/470197.html