【发布时间】:2019-09-13 13:03:54
【问题描述】:
我们在 EC2 中为我们的主机和子域提供了一些带有 NGINX 配置的 SSL 证书。我们渴望为我们的存储库创建单独的容器并使用 ECS 和 Fargate 管理它们。我真的不知道如何使转移工作以及对此的最佳做法是什么?在此过程中,我们无法承受任何停机或 SSL 错误。
【问题讨论】:
标签: amazon-web-services amazon-ec2 lets-encrypt aws-fargate
【发布时间】:2019-09-13 13:03:54
【问题描述】:
由于best option 将在Load balancer 后面运行fargate,因此负载均衡器会感知fargate 服务或EC2 类型ECS 服务的运行状况,并根据负载或服务运行状况分配流量。
LB 支持在发送到目标之前终止的 TLS 终止。
那为什么要在容器级别管理 TLS?
在这个architecture 中,每个集群中的容器可以通过网络负载均衡器安全地引用其他容器,而无需终止或卸载证书,直到它到达目标容器。
所以您在负载均衡器级别有两个选项。
- 应用负载均衡
- 网络负载均衡 两者的工作方式相同,但 ALB 在应用程序层工作,而网络在网络级别工作,两者都可以在您的情况下工作。
所以我建议将你的证书导入到 LB。
- 进口证书
- 创建 ALB
- 添加 https 监听器
- 选择导入的证书
- 创建 Fargate 服务并附加到 LB 端口 443
- 检查一些使用 SSL 的测试 DNS
- 更新您的 DNS 记录以在不停机的情况下指向新的基础设施。
https://us-west-2.console.aws.amazon.com/acm/home?region=us-west-2#/importwizard/
如果你想使用 in service,那么你需要添加你的 docker 文件。但是根据知识,以上是最好的方法。
【讨论】:
-
谢谢,这完全有道理。我只是想知道 LB 是否也可以处理子域的通配符证书?我可以拥有无限的子域,所有流量都将流向特定的容器
-
是的 LB 可以处理通配符证书,顺便说一句,它依赖于 LB 上的证书