我正在GKE中运行服务,并且具有用于设置LTS的Ingress。 我已经尝试过使用自签名证书,并且可以通过https协议访问我的网站。看起来不错。 请注意,我已经为Ingress设置了静态IP,并为其提供了域名。
但是现在我要创建一个真实证书,并尝试创建一个CSR并将其发送给CA,但是阅读这些帖子后我很困惑:
Manage TLS Certificates in a Cluster
我有一些问题:
我所要做的就是制作* .crt和* .key文件,以便在我的服务上设置https。 (我已经阅读了一些博客文章,讲述了“让我们加密”,但我不想使用它。)
感谢您阅读。
答案 0 :(得分:2)
让我们先解决您的每个问题:
什么是Pod的DNS,Pod的Ip和Service的Ip?
在集群中,每个Pod都有自己的内部IP地址和DNS记录。服务也是如此。您可以在Kubernetes here中阅读DNS,还可以阅读有关IP地址here的更多信息。
我必须为pod和服务创建DNS吗?
在群集中使用时,会自动为您处理。如果要公开pod /服务,并使其可以通过DNS记录从外部访问,则必须在某个地方创建它,就像对其他任何服务器/服务/任何东西一样。
我可以从本地PC生成* .csr文件吗?
如果遵循以下步骤,可以创建服务器证书身份验证吗?
对于GKE和Ingress,可以通过两种不同的方式来处理证书。您只需将证书添加到项目中,然后告诉Ingress控制器使用它即可。 Here in this page您可以找到有关此操作的出色说明,here是在控制台中创建证书的页面。该页面还向您展示了如何通过使用机密来做到这一点,尽管我个人更喜欢使用项目中包含的证书的附加可见性。