ssl - 我应该在 Google Cloud 上为 Kubernetes 使用 Ingress 还是 LoadBalancer(带有自定义域和 SSL 证书)？

Question

根据this page ，如果您使用 LoadBalancer，Google Kubernetes 似乎可以制作 Google 托管的 SSL 证书。这就是我想要使用的。
但是，我使用了 this page为我的自定义域设置入口。
所以现在，我有一个 Ingress，我可以使用我的自定义域访问我的集群，但我如何向它添加 HTTPS？我的怀疑是 Ingress 也做了一个 LoadBalancer，但我不知道如何根据第一个链接修改它。

Answer 1

My suspicion is that Ingress also makes a LoadBalancer, but I can'tfigure out how to modify it according to the first link.

你是对的。当您创建 入口对象， 负载均衡器是在幕后自动创建的。甚至提到了 here :

If you choose to expose your application using anIngress,which creates an HTTP(S) Load Balancer, you must reserve a globalstatic IPaddress.

您甚至可以在您的 中列出它谷歌云控制台 通过转到 Navigation menu -> Networking -> Network services -> Load balancing .
编辑它的最简单方法是单击它旁边的 3 个点，然后单击 Edit :

但是，您需要修改 Ingress，而不是手动编辑它。资源。
假设您已按照 here 概述的步骤进行操作一切正常，但只能通过 http ，这也是预期的，因为您尚未配置 SSL证书到目前为止你的入口和 负载均衡器 它在幕后使用也被配置为仅与 http 一起使用。
如果您关注 the guide you mentioned并且已经配置了 Google 管理的 SSL 证书 ，您只需更新您的 入口通过添加 networking.gke.io/managed-certificates: certificate-name 进行资源配置@ldg 在他的回答中建议的注释。
如果您没有配置 SSL 证书，您可以按照 here 所述应用以下 yaml list ，从 kubernetes 级别进行配置。 :

apiVersion: networking.gke.io/v1beta2
kind: ManagedCertificate
metadata:
  name: example-cert
spec:
  domains:
    - example.com

保存为文件 example-cert.yaml然后运行:

kubectl apply -f example-cert.yaml

创建后，您可以重新申请 入口来自与以前相同的 yaml list 的配置，并添加了提到的注释。

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: helloweb
  annotations:
    kubernetes.io/ingress.global-static-ip-name: helloweb-ip
    networking.gke.io/managed-certificates: example-cert ### 👈
  labels:
    app: hello
spec:
  backend:
    serviceName: helloweb-backend
    servicePort: 8080

如果由于某种原因您想根据运行配置获取已部署的入口，您可以运行:

kubectl get ingress helloweb -o yaml > ingress.yaml

那么你可以编辑 ingress.yaml文件并重新申请。
添加注释后，再次进入您的 谷歌云控制台 至 Navigation menu -> Networking -> Network services -> Load balancing你会注意到 协议(protocol) 的 负载均衡器与入口相关的已从 HTTP 更改至 HTTP(S)如果证书有效，您应该能够通过 HTTPS 使用您的自定义域访问您的网站。