我们在 GCE 上设置了一项服务,旨在为来自互联网和我们 VPC 内其他服务的请求提供服务。
为了管理这一点,我们并行设置了两个负载平衡器,第一个是全局 HTTPS 负载平衡器,第二个是内部 HTTPS 负载平衡器。两个负载均衡器都配置了后端服务,以将流量发送到托管我们服务的相同实例组。
对于全局负载均衡器,我们为我们的域创建了自我管理的证书,并设置了一个小型虚拟机来定期刷新这些证书。
我们被困在如何为内部负载均衡器配置证书上。根据我们的研究,似乎最好的选择归结为创建自签名证书并在将与 LB 通信的每个 VM 上安装/信任它们。然而,管理这个(或类似地管理我们自己的本地 CA)似乎成本高昂。GCP 是否在管理内部部署的证书方面提供任何帮助?我们是否坚持使用自签名证书路线?或者,我们应该探索另一种方法吗?
谢谢,我们感谢您的帮助!
对于全局负载均衡器,我们为我们的域创建了自我管理的证书,并设置了一个小型虚拟机来定期刷新这些证书。
您可以通过使用谷歌云管理的 SSL 证书来避免额外的 VM 来刷新证书。但是,它具有某些可能与您相关的限制:
我们被困在如何为内部负载均衡器配置证书上——应该为哪个域配置这个内部证书?
对于全局 HTTPS 负载均衡器,单个 VM 实例不需要 SSL 证书,因为默认情况下 LB 和后端实例之间的流量是加密的。
如果你想加密你的虚拟机之间的内部流量(你真的需要这个额外的保护层),你必须使用自签名证书并在区域 HTTP 代理配置中指定它们。
内部负载均衡器使用的 DNS 格式是:
[SERVICE_LABEL].[FORWARDING_RULE_NAME].il4.[REGION].lb.[PROJECT_ID].internal
您可以创建一个自签名通配符证书以匹配不同的内部服务。保留自己的证书颁发机构有一些缺点,请在此处阅读更多信息https://security.stackexchange.com/a/121195/52705
文档: