节点HTTP/2设置托管证书的正确位置

Question

我在这个例子之后使用http/2创建了一个这个例子应用程序

注意:到目前为止，此应用程序使用的是自签名证书.

我们在GKE上部署了它，直到现在它还在工作。下面是这个简单的体系结构的样子：

​

​

现在，我们想要开始使用真正的证书，但不知道放在哪里是正确的地方。

我们应该把它放在pod (覆盖自签署证书)中吗？

我们应该在这个体系结构的顶部添加一个代理来将证书放入其中吗？

Answer 1

客户端的SSL会话在LB级别终止，所使用的自签名证书仅用于加密LB和Pods之间的通信。因此，如果希望客户端使用新的有效证书，则需要处于LB级别。

另外，让您的应用程序服务器通过HTTP与LoadBalancer通信将提高性能。因为LB反正是个反向代理。

你可以阅读这篇文章关于LoadBalancing的文章，这是由HAProxy的作者写的

Answer 2

在GKE中，您可以使用入口对象将外部HTTP(S)流量路由到集群中的应用程序。有了这个选项，您有三个选择：

• Google管理证书
• 与GCP共享的自管理证书
• 作为秘密资源的自管理证书

检查本指南的入口负载平衡