Compute Engine https 負載平衡與穀歌託管的 ssl 證書
早上好,我需要幫助來了解 HTTPS 負載平衡的配置。
目前,我在計算引擎中只載入了一個 vm 實例(帶有 nginx 且沒有 apache 的 debian lemp 堆棧),並設置了 dns 區域。一切正常,但我還沒有設置負載平衡。
關於 https 前端負載平衡或多或少,對我來說很清楚,但對於 https 後端我有一些疑問。
目前default_ssl.vhost nginx conf文件是這樣設置的:`server { listen 443 http2 ssl; #聽
$$ :: $$:443 ssl; 伺服器名稱 _; 包括/jet/etc/nginx/conf.d/document_root.settings;
ssl_certificate "/jet/etc/letsencrypt/live/odisseo.io/fullchain.pem"; ssl_certificate_key "/jet/etc/letsencrypt/live/odisseo.io/privkey.pem"; # ssl params include /jet/etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot ssl_dhparam /jet/etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot # Load configuration files for the default server block. include /jet/etc/nginx/conf.d/*.inc; include /jet/etc/nginx/sites-enabled/*;
}`
我的問題是:一旦我在計算引擎上完成了使用Google自我管理證書配置 https 負載平衡的後端,我應該如何修改 default_ssl.vhost nginx conf 文件?因為我讀過證書,一旦自我管理程序成功,就可以消除。我是否要在文件 default_ssl.vhost nginx conf 文件上配置代理?如果是,應該如何配置整個文件?
最後一個問題是:在compute engine的network cloud dns下,此時我有一條記錄類型A,裡面是vm實例的靜態ip地址,等我配置好前後端https負載均衡後,我就有了用新的靜態前端 IP 地址更改此 IP 地址?
在此先感謝您的幫助。
在 Google 負載均衡器級別上執行 SSL 後,您可以安全地從 nginx 配置中刪除任何 SSL 設置。同樣——一旦你的 GLB 啟動,你必須更新你的 DNS 設置以指向負載均衡器的公共 IP。
負載均衡器將有效地作為使用者的入口點並終止 SSL。從那裡您可以將許多 GCE 實例添加到您的負載均衡器中,方法是讓它們成為負載均衡組的一部分。此頁面非常清楚地解釋了這些概念。
我鼓勵您使用Terraform來管理 GCP 資源,以聲明性方式連接和管理資源更容易