使用Kubernetes服务处理TLS LetsEncrypt的良好实践

Question

考虑到Nginx反向代理处理后端服务的TLS LetsEncrypt证书，这个设置在Kubernetes上的良好部署架构是什么？

我的第一个想法是，将Nginx和我的服务器作为一个重要集在容器中创建一个容器。所有这些有状态集都可以访问安装在/etc/nginx/certificates上的卷。所有这些容器都运行一个cron，并允许更新这些证书。

然而，我不认为这是最好的方法。这种类型的体系结构是被分割的，而不是在任何地方运行完全独立的服务。

也许我应该运行一个独立的代理服务来处理证书，并将其重定向到后端服务器部署(ingress + job用于证书更新)？

如果您使用的是托管服务(如GCP负载均衡器)，如何颁发公开信任的证书并对其进行更新？

Answer 1

你想要库贝-乐高。

kube自动请求Kubernetes入侵资源的证书，让我们加密

它适用于GKE+LoadBalancer，也适用于nginx。使用非常简单；自动证书请求(包括更新)；使用LetsEncrypt。

README在脸颊上说-perhaps舌头--你需要一个非生产用例。我一直在使用它生产，我发现它是足够可靠的。

(完全披露:我与作者关系松散，但没有付费为产品做广告)