我有一个 Kubernetes 服务,我把它放在负载均衡器后面。负载均衡器位于区域静态 IP 上。我不能使用全局 IP 的原因是当我将它分配给我的服务时,它拒绝接受它。其他人也面临同样的问题。
我正在尝试将 SSL 证书分配给创建的 TCP 负载平衡器(区域 IP),但在前端配置中,我没有看到选项。
如果我使用全局 IP,我可以看到创建/分配证书的选项,但我的服务拒绝该 IP,如上面的链接所示。如何将 SSL 证书分配给作为 kubernetes 服务的负载均衡器的区域 ip?或者,如果您知道我的服务在全局 IP 上为 kubernetes 服务接受负载均衡器的方式,请告诉我。
注意:我禁用了默认的 gce 入口控制器,我正在使用自己的入口控制器。因此它不会自动创建外部 ip。
如果您使用区域 TCP 平衡器,则根本不可能将证书分配给负载平衡器,因为它在第 4 级 (TCP) 上运行,而 SSL 处于第 7 级。这就是为什么您看不到分配证书的选项。
您需要在入口控制器级别分配 SSL 证书,如下所示:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: foo
namespace: default
spec:
tls:
- hosts:
- foo.bar.com
secretName: foo-secret
rules:
- host: foo.bar.com
http:
paths:
- backend:
serviceName: foo
servicePort: 80
path: /