#azure #ssl-certificate #azure-keyvault #lets-encrypt #azure-application-gateway
#azure #ssl-сертификат #azure-keyvault #позволяет шифровать #azure-application-gateway
Вопрос:
У меня работает кластер AKS, в котором запущен внутренний nginx ingress cert-manager, который генерирует lets encrypt для завершения ssl.
Я хотел бы включить шлюз приложений в качестве точки входа, где я ожидаю, что интернет-трафик SSL попадает на шлюз приложений, и трафик перенаправляется на вход nginx, а затем в мое приложение. Я не возражаю, если выгрузка SSL выполняется на уровне Appgw или на самом кластере AKS.
Одна из моих самых больших проблем заключается в том, что шлюзу приложений требуется сертификат при создании прослушивателя https. Поскольку сертификат генерируется автоматически в кластере AKS, я не вижу пользы в предоставлении SSL-сертификата шлюзу приложений, и я не хочу выполнять дополнительную работу по созданию сертификата и его хранению по умолчанию и т. Д. И т. Д.
Каков самый простой способ решения этой проблемы? Возможные решения, которые я рассмотрел, следующие
- Настройте шлюз приложений для передачи SSL через кластер AKS
- Каким-то образом настройте cert-manager для хранения сертификата в keyvault
Единственные варианты, которые я вижу (но мне не нравятся ни те, ни другие)
- Приобретите сертификат и сохраните его в keyvault (однако я предпочитаю использовать Lets Encrypt)
- Создайте SSL-сертификат в кластере, а затем напишите сценарий, который очищает сертификат и сохраняет его в Azure Key Vault
Любая помощь будет оценена
Ответ №1:
В соответствии с этим руководством здесь вы можете использовать cert-manager надстройку AKS, которая автоматизирует создание сертификатов и управление ими. Вы также можете пройти через это руководство, в котором используется Azure automation runbook для автоматизации ротации сертификатов для ApGw.