前幾天提到因為要用 certificate manager 的 SDK 自動更新憑證,所以我們改用 certificate map。今天來快速總結一下 certificate manager 跟 certificate map。
Certificate Manager 主要是讓你管理 load balancer 上的 certificate。其他他有兩種 proxy 模式,HTTPS 跟 SSL。看你使用哪一個 loadbalancer。
當你的架構一大,要管理的 Certificate 變多,Certificate Map 就可以節省很多功夫。他就像 SSL/TLS 憑證的路由表,將特定憑證連結到相應的主機名。
正常來說一個 Certificate 會對到一個 domain。而Certificate map entries 是多個 Certificate 對到一個 domain(舉例 an ECDSA and an RSA certificate 對到一樣的 domain)
而 Certificate map 又對應到多個 Certificate map entries。
所以根據以上介紹,他可以做到
分組憑證:將多個憑證組織在一起。
目標部署:可以將憑證映射附加到負載均衡器上。
重用和靈活性:一個憑證映射可以在多個負載均衡器和目標代理之間共享
所以依照這個邏輯搭配官方這張圖。假設今天load balancer 要開始選擇哪個 certificate 進行連線,他會有一個配對邏輯,首先是精准匹配,再來是 wildcard 匹配,最後才是根據 primary 匹配。詳細可以參考這個網站。另外,如果你在 load balancer 上進行 rules 的配置,他也會照這個順序倒流量。