我有一个Kubernetes服务,我将它放在负载均衡器后面。负载均衡器位于区域静态IP上。我不能使用全局IP的原因是,当我将其分配给我的服务时,它拒绝接受它。其他人也面临着同样的problem。
我正在尝试为创建的TCP负载均衡器(区域IP)分配SSL证书,但是在前端配置中,我看不到任何选项。
如果我使用全局IP,则可以看到创建/分配证书的选项,但是我的服务拒绝IP,如上面的链接所示。 如何将SSL证书分配给作为kubernetes服务的负载平衡器的区域ip?或者,如果您知道我的服务在全球IP上接受Kubernetes服务的负载均衡器的方式,请告诉我。
注意:我已经禁用了默认的gce入口控制器,并且正在使用自己的入口控制器。因此,它不会自动创建外部IP。
答案 0 :(得分:2)
如果您使用区域TCP平衡器,则根本不可能将证书分配给负载平衡器,因为它在4级(TCP)上运行而SSL在7级。这就是为什么看不到分配证书的原因。 / p>
您需要像这样在入口控制器级别分配SSL证书:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: foo
namespace: default
spec:
tls:
- hosts:
- foo.bar.com
secretName: foo-secret
rules:
- host: foo.bar.com
http:
paths:
- backend:
serviceName: foo
servicePort: 80
path: /