在微服务中使用SSL

Question

对于如何使用SSL保护我的微服务应用程序，我有疑问。

quik情况简介：

我有一个亚马逊ec2实例，前面有一个负载平衡器。在ec2实例中，我使用注册表和网关应用程序(在VPC中)运行5个微服务。负载平衡器使用来自Amazon证书管理器的证书。我还使用keytool生成了一个自签名证书。

现在我面临的问题是：应该只为我的网关应用程序配置自签名证书，并将自签名证书注册到负载平衡器作为受信任的证书，还是应该为每个微服务配置自签名证书?

致以敬意，

Answer 1

您希望将微服务公开给最终用户，并使用https进行保护。

如果您想要安全，请不要使用自签名证书。让我们加密是更好的选择。

您可以使用，它与https一起使用。它可能是您的所有服务的单一端点-然后目录可以导致不同的服务。另一方面，如果所有这些都发生在单机上，我会使用单个JVM.但那是不同的故事。

其他选择则更不明确。据评论-不仅仅是为了我。如果您的微服务暴露在互联网上--您可以终止负载平衡器上的https。我不明白的是>>my网关application<<。看起来在终端用户和微服务之间有什么东西.如果这是真的，那么https应该在那里的某个地方终止。

另外，我不知道为什么在EC2实例前面有负载均衡器。通常，在自动缩放组的前面使用LB来在其实例之间传播负载。如果你想要自动化-弹性豆柄是好的选择。