K8S 集群上公网域名的 SSL 证书是配置在集群外的 web 服务器上 还是集群内的 web 服务器上呀?
我有两个思路
 |
1
6IbA2bj5ip3tK49j Feb 22, 2023
方案 2 ,不复杂。
|
 |
2
foursevenlove Feb 22, 2023
方案 2 手动改 secret
|
 |
3
liuxu Feb 22, 2023
cert-manager 并不复杂,原理就是起一个 let's 的 pod 定期更新 Secret ,ingress 直接配置 annotations 配置 cluster-issuer ,其实也就是挂上那个 Secret
|
 |
4
fisherwei Feb 22, 2023
我们公司用的是方案 1 ,因为每个业务线、产品啥的都有自己的 k8s (还不止一套),而不是同一用一个。所以公司的大证书一般不会交给业务线,而是集中配置一个 ssl termination 。
但是个别业务线的产品可能领导比较重视吧?他们会有单独申请的二级域名的证书。 |
 |
5
perfectlife Feb 22, 2023
方案二 用泛域名证书,到期更新一下
|
 |
6
xzysaber Feb 22, 2023
cert-manager 确实有点小复杂,主要是了解其中的资源对象和 ACME 。不过跑起来后就不怎么太关心了。需要注意域名服务商是否支持,不然需要自己写 webhook ,例如华为云。
|
 |
7
st2udio Feb 22, 2023
cert-manager 用起来挺方便呀,部署好就完事了。自己创建证书,自动更新。很方便。
|
 |
8
MaxFang Feb 22, 2023
最近正在接触这块,码住!
|
 |
9
linuxsteam OP @foursevenlove 3 个月一改 复杂啊
|
|
10
linuxsteam OP @liuxu 对小白来说 复杂啊 目测 除了 RABC 权限,还有自定义得 kind 类型,还有 webhook 我弄一遍了 又删除了
|
|
11
linuxsteam OP @xzysaber 按照官方得操作说明去操作 发现总有问题,然后 manifest 400 多 kb 怕出现问题了 自己都找不到
|
 |
12
Achilless Feb 22, 2023
有点规模的公司一般都用 1 方案,专门的代理集群做 SSL 卸载
|
 |
13
BQsummer Feb 22, 2023
方案 1 ,因为业务稍微大点都会再套点东西,waf / alb 啥的
|
 |
14
centralpark Feb 23, 2023
cert-manager 还复杂?这都嫌复杂还折腾的动 k8s 么……
|
|
15
linuxsteam OP @centralpark manifest 文件 400 多 kb 呢 我是写不出来,所以感觉复杂。。。
|
Select Language