我怀疑如何使用SSL保护我的微服务应用程序。
quik情况草图:
我有一个亚马逊ec2实例,前面有一个负载均衡器。 在ec2实例上,我运行了5个带有注册表和网关应用程序的微服务(在VPC中)。 负载均衡器使用来自Amazon证书管理器的证书。 我还有一个用keytool生成的自签名证书。
现在我的问题是: 我应该只为我的网关应用程序配置自签名证书,并将自签名证书与loadbalancer一起注册为可信证书,还是应该为每个微服务配置自签名证书?
此致
答案 0 :(得分:0)
您希望将微服务暴露给最终用户,并使用https进行保护。
如果您需要安全性,请不要使用自签名证书。让我们加密是更好的选择。
您可以使用API网关,它与https一起使用。它可能是您所有服务的单一端点 - 然后目录可以导致不同的服务。另一方面,如果所有这些都在单机上进行,我会使用单个JVM ......但这是不同的故事。
其他选择更加不清楚。根据评论 - 不仅对我而言。如果您的微服务暴露在互联网上 - 您可以在负载均衡器上终止https。我没有得到的是>>我的网关应用程序<<。看起来终端用户和微服务之间有一些东西......如果这是真的那么https应该在那里终止。
作为旁注 - 我不知道你为什么在EC2实例面前有负载均衡器。通常在自动缩放组前面使用LB来在其实例之间传播负载。如果你想自动化 - Elastic Beanstalk是不错的选择。