我在GKE中运行一个服务,并有一个用于设置LTS的Ingress。我已经尝试过我的自签名证书,我可以通过https协议访问我的网站。它看起来不错。请注意,我已经有了Ingress的静态IP和域名。
但现在我要创建一个真正的证书,并试图创建一个CSR并将其发送给CA,但在阅读了这些帖子后,我感到非常困惑:
管理集群中的TLS证书
证书
我有一些问题:
- 什么是Pod的DNS、Pod的Ip和Service的Ip
- 我必须为pod和服务创建DNS吗
- 我可以从本地电脑生成*.csr文件吗
- 如果我遵循此链接中的步骤,我可以创建服务器证书身份验证吗https://kubernetes.io/docs/concepts/services-networking/ingress/#tls
我只想制作*.crt和*.key文件,用于在我的服务上设置https。(我读过一些关于Let's Encrypt的博客文章,但我不想使用它(。
感谢您的阅读。
让我们先复习一下你的每个问题:
什么是Pod的DNS、Pod的Ip和Service的Ip?
在集群中,每个pod都有自己的内部IP地址和DNS记录。服务也是如此。你可以在这里阅读Kubernetes中的DNS,也可以在这里了解更多关于IP地址的信息。
我必须为pod和服务创建DNS吗?
在集群中使用时,它会自动为您处理。如果你想公开一个pod/服务,并通过DNS记录从外部访问它,你必须在某个地方创建它,就像你对任何其他服务器/服务/任何东西一样。
我可以从本地电脑生成*.csr文件吗?
如果我遵循以下步骤,我可以创建服务器证书身份验证吗。。。
对于GKE和Ingress,可以通过两种不同的方式处理证书。你只需向你的项目添加一个证书,并告诉Ingress控制器使用它。在这个页面中,你可以找到关于如何做到这一点的精彩描述,这里是在控制台中创建证书的页面。本页还向您展示了如何使用机密来实现这一点,尽管我个人更喜欢使用作为我项目一部分的证书来增加可见性。