我试图弄清楚如何最好地在Jelastic托管的k8s集群上安装SSL。我发现了一些不错的提示here,有关如何使cert-manager通常在k8s集群上运行(与主机提供商无关)。
我现在担心的是,我不确定100%是否需要letencrypt或是否可以使用默认的SSL安装。查看this README的底部(最后一段),我看到我必须能够将其安装在群集上。从Jelastic仪表板看,我完全可以做到。附加程序图标显示在“工作程序”和“存储”节点上。在这两种情况下,通过该图标,我都看不到letencrypt插件。
这里的最佳做法是什么?我如何启动和运行它?首先,默认情况下安装的Nginx入口控制器不符合我们的安全要求。其次,默认情况下,我们添加到此Jelastic环境中的任何子域都不会获得必需的ssl证书。我该如何解决?
答案 0 :(得分:1)
让我对SSL有所了解。您是100%正确的,Jelastic的K8中至少有两种方法可以处理SSL。
简而言之:
1)将SSLs部署到SLB(via API或通过LE addon)。现在,仅Private Cloud个客户可以使用LE插件+ SLB组合(即将支持Public Cloud)。这样,您可以使用https2http终止将请求从SLB转发到K8s集群(因此,入口控制器将仅侦听http)。
2)直接使用认证管理器将SSL部署到K8。 K8s in Jelastic的最新版本对此提供支持。为了能够使用此方法,需要在所有工作节点上附加Public IPs(因为它们具有入口控制器的直接侦听器)。在这种情况下,将通过使用专用注释的入口规则触发SSL证书的颁发。建议使用此方法,并认为此方法更安全。您的K8s群集将接受端口443上的直接连接,每个公开的服务可能都有专用的ACME入口以进行验证。