我们已在GCE上设置了一项服务,该服务旨在服务于Internet和VPC内部其他服务的请求。
要管理此问题,我们并行设置了两个负载均衡器,第一个是全局HTTPS负载均衡器,第二个是内部HTTPS负载均衡器。两个负载平衡器均配置了后端服务,以将流量发送到托管我们服务的相同实例组。
对于全局负载平衡器,我们已经为域创建了自我管理的证书,并设置了一个小型虚拟机来定期刷新这些证书。
我们在如何为内部负载均衡器配置证书方面陷入困境。从我们的研究看来,最好的选择似乎归结为创建自签名证书并在将与LB通信的每个VM上安装/信任它们。但是,似乎对此的管理(或类似地管理我们自己的本地CA)的成本可能很高。 GCP在管理内部部署的证书方面是否有帮助?我们是否坚持使用自签名证书路径?还是我们应该探索另一种方法?
谢谢,我们感谢您的帮助!
答案 0 :(得分:1)
对于全局负载平衡器,我们已经为我们的服务器创建了自我管理的证书 域并设置一个小型虚拟机以定期刷新这些证书。
您可以使用google cloud managed SSL certificates避免使用额外的VM来刷新证书。但是,它具有与您可能相关的某些限制:
我们在如何为内部负载均衡器配置证书方面陷入困境 -应该为此内部证书配置哪个域?
对于全局HTTPS负载平衡器,单个VM实例上不需要SSL证书,因为默认情况下,LB和后端实例之间的通信是加密的。
如果要加密VM之间的内部流量(并且确实需要此额外的保护层),则必须使用自签名证书,并在区域HTTP代理配置中指定它们。
内部负载均衡器使用的DNS格式为:
[SERVICE_LABEL].[FORWARDING_RULE_NAME].il4.[REGION].lb.[PROJECT_ID].internal
您可以创建一个自签名的通配符证书来匹配不同的内部服务。保持自己的证书颁发机构有一些弊端,请在此处https://security.stackexchange.com/a/121195/52705
阅读更多内容文档: