多个SSL证书kubernetes

Question

我正在运行一个可以从我公司的域名访问的web服务。我已经设置了自动SSL证书与让加密如下所示。

apiVersion: extensions/v1beta1 kind: Ingress metadata: name: basic-ingress annotations: certmanager.k8s.io/issuer: letsencrypt spec: tls: - hosts: - my.domain.net secretName: my-domain-net-tls rules: - host: my.domain.net http: paths: - backend: serviceName: frontend-service servicePort: 80-to-8080-tcp

我想为客户提供从他们自己的域名服务前端的选择。使用证书最好的方法是什么？我知道我可以将负载均衡器设置为使用多个密钥，如下所示：https://cloud.google.com/kubernetes-engine/docs/how-to/ingress-multi-ssl，但我需要从超过规定的最大10个域提供服务。

有没有更有效的方法来解决这个问题呢？为多个域的一个前端服务提供服务的行业标准是什么？

非常感谢！

Answer 1

支持多个域名和/或子域名的标准方法是使用一个SSL证书并实现SAN (使用者备用名称)。额外的域名一起存储在SAN中。所有SSL证书都支持SAN，但并非所有证书颁发机构都会颁发多域证书。让我们加密确实支持SAN，这样他们的证书将满足您的目标。

What is a SAN Certificate?

Answer 2

如果您不需要全局IP，并且可以使用区域IP，您可以安装nginx-ingress并使用多个入口来处理同一IP的多个域和证书。

如果您确实需要全局IP，可以按照@John的建议进行操作。

如果您不介意让您的客户端像您一样将它们的域指向不同的IP，那么您可以使用不同的入口，而不需要其他任何东西。但请注意，GKE上的正常入口实例化了一个L7全局负载均衡器，因此请考虑这样做的成本