ssl - 如何生成证书签名请求 (CSR) 以在 GKE 中设置 TLS

Question

我在 GKE 中运行一项服务，并有一个用于设置 LTS 的 Ingress。我已经尝试过我的自签名证书，我可以通过 https 协议(protocol)访问我的网站。看上去不错。请注意，我已经有一个用于 Ingress 的静态 IP 和一个域名。

但现在我要创建一个真实证书并尝试创建一个 CSR 并将其发送给 CA，但在阅读这些帖子后我感到很困惑:

Manage TLS Certificates in a Cluster

Certificates

我有一些问题:

• Pod 的 DNS、Pod 的 IP 和服务的 Ip 是什么？
• 我必须为 pod 和服务创建 DNS 吗？
• 我可以从我的本地 PC 生成 *.csr 文件吗？
• 如果我按照此链接中的步骤操作，是否可以创建服务器证书身份验证 https://kubernetes.io/docs/concepts/services-networking/ingress/#tls

我只想制作 *.crt 和 *.key 文件以在我的服务上设置 https。 (我读过一些关于 Let's Encrypt 的博客文章，但我不想使用它)。

感谢阅读。

Answer 1

让我们先回顾一下您的每个问题:

What's Pod's DNS, Pod's Ip and Service's Ip?

在集群中，每个 pod 都有自己的内部 IP 地址和 DNS 记录。服务也一样。您可以阅读 Kubernetes 中的 DNS here您可以阅读有关 IP 地址的更多信息 here .

Do I have to create DNS for pod and service?

要在集群中使用，系统会自动为您处理。如果你想公开一个 pod/服务并通过 DNS 记录从外部访问它，你必须在某个地方创建它，就像你为任何其他服务器/服务/任何东西所做的那样。

Can I generate the *.csr file from my local PC?

Can I create a server certificate authentication if I follow the steps...

对于 GKE 和 Ingress，可以通过两种不同的方式处理证书。您只需将证书添加到您的项目并告诉 Ingress Controller 使用它。 Here in this page您可以找到有关如何执行此操作的精彩描述，以及 here是在控制台创建证书的页面。此页面还向您展示了如何使用 secret 来实现这一点，但我个人更喜欢使用属于我项目一部分的证书来增加可见性。