如何使用Google、负载均衡器和托管实例组加密？

Question

我试图了解如何使用自动缩放与HTTPS区域负载均衡器在谷歌云上。他们的文档建议连接到后端服务(从代理)也是HTTPS。这让我觉得我需要：

• 一个实例模板，包含SSL证书和配置为接收HTTPS通信量的Nginx。
• 托管实例组配置为从负载均衡器接收通信量。
• 负载平衡器配置了一个有效的SSL证书，该证书接收传入的通信量并将其转发给适当的区域实例组(根据Google的文档，还会触发扩展)。

尽管我阅读了谷歌的SSL证书文档及其关于负载平衡器的各种文档页面，但我还是无法理解SSL证书应该如何与此设置一起工作。

假设我想每45天使用一次SSL证书的加密和自动更新，下面是我遇到的问题：

• 实例模板需要做什么才能获得有效的证书？或者我可以在越南船民上使用自签证书吗？我在实例模板上使用Docker，当我在一个短暂的IP地址上旋转一个实例时，我很难生成一个有效的自签名证书。
• 实例模板是否需要cron作业和/或使用certbot每45天更新一次SSL证书？
• Google提供了一种方法来自动更新它在HTTPS负载均衡器上管理的SSL证书吗？

最后：

• 是否有更好的方式来思考这个问题，还是更容易考虑的解决方案？

Answer 1

您可以在VM上使用自签名证书。事实上，我和NGINX在我的VMs上使用的自签名证书大约8个月前就过期了。我不相信负载均衡器会对证书本身进行任何验证--它只是SSL握手的一个必要部分。

您可以尝试在实例启动中为其自己的IP生成某些内容，并为其更新cron作业。如上所述，我不认为这是必要的。

Google不自动替换证书，但您可以编写脚本。gcloud命令行实用程序具有创建和更新大多数资源的命令，包括证书和负载平衡器。