iT邦幫忙

2024 iThome 鐵人賽

DAY 15
0

前幾天提到因為要用 certificate manager 的 SDK 自動更新憑證,所以我們改用 certificate map。今天來快速總結一下 certificate manager 跟 certificate map。

Certificate Manager 主要是讓你管理 load balancer 上的 certificate。其他他有兩種 proxy 模式,HTTPS 跟 SSL。看你使用哪一個 loadbalancer

當你的架構一大,要管理的 Certificate 變多,Certificate Map 就可以節省很多功夫。他就像 SSL/TLS 憑證的路由表,將特定憑證連結到相應的主機名。

正常來說一個 Certificate 會對到一個 domain。而Certificate map entries 是多個 Certificate 對到一個 domain(舉例 an ECDSA and an RSA certificate 對到一樣的 domain)

而 Certificate map 又對應到多個 Certificate map entries。

所以根據以上介紹,他可以做到

  1. 分組憑證:將多個憑證組織在一起。

  2. 目標部署:可以將憑證映射附加到負載均衡器上。

  3. 重用和靈活性:一個憑證映射可以在多個負載均衡器和目標代理之間共享

所以依照這個邏輯搭配官方這張圖。假設今天load balancer 要開始選擇哪個 certificate 進行連線,他會有一個配對邏輯,首先是精准匹配,再來是 wildcard 匹配,最後才是根據 primary 匹配。詳細可以參考這個網站。另外,如果你在 load balancer 上進行 rules 的配置,他也會照這個順序倒流量。

https://ithelp.ithome.com.tw/upload/images/20240929/20118525sjYmnxNEyj.png

ref: https://medium.com/google-cloud/manage-ssl-certificates-at-scale-using-google-certificate-manager-fcf1858c6b20


上一篇
GCP terraform module 的挑戰
下一篇
load balancer cert manager
系列文
從 AWS 轉生到 GCP 世界,還順便轉職成 DevOps 的 SRE30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言