早上好,我需要帮助来了解 HTTPS 负载平衡的配置。
目前,我在计算引擎中只加载了一个虚拟机实例(带有 nginx 且无 apache 的 debian lemp 堆栈),并设置了 dns 区域。一切正常,但我尚未设置负载平衡。
关于 https 前端负载平衡,对我来说或多或少是清楚的,但对于 https 后端我有一些疑问。
目前 default_ssl.vhost nginx conf 文件设置方式如下:`server { listen 443 http2 ssl; #listen [::]:443 ssl; server_name _; include /jet/etc/nginx/conf.d/document_root.settings;
ssl_certificate "/jet/etc/letsencrypt/live/odisseo.io/fullchain.pem";
ssl_certificate_key "/jet/etc/letsencrypt/live/odisseo.io/privkey.pem";
# ssl params
include /jet/etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /jet/etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
# Load configuration files for the default server block.
include /jet/etc/nginx/conf.d/*.inc;
include /jet/etc/nginx/sites-enabled/*;
}`
我的问题是:一旦我完成了在计算引擎上使用 google 的自管理证书配置 https 负载平衡后端,我应该如何修改 default_ssl.vhost nginx conf 文件?因为我读到,一旦自我管理过程成功,证书就可以被消除。我是否需要在文件 default_ssl.vhost nginx conf 文件上配置代理?如果是,应该如何配置整个文件?
最后一个问题是:在计算引擎中的网络云 DNS 下,目前,我有一个带有虚拟机实例静态 IP 地址的记录类型 A,一旦我完成前端和后端 https 负载平衡的配置,我是否必须用新的静态前端 IP 地址更改这个 IP 地址?
先谢谢您的帮助。
答案1
答案2
Google 负载均衡器的特殊之处在于您无需在服务器中设置 SSL 证书。负载均衡器会加密负载均衡器与后端实例之间的所有流量。
要使用 HTTPS 或 SSL 负载平衡,您必须将至少一个 SSL 证书与负载平衡器的目标代理关联。对于每个 SSL 证书,您首先要创建一个“SSL 证书资源”,其中包含 SSL 证书信息。
您可以在以下位置找到有关此方面的更多信息官方文档
关于您的第二个问题:您说的是正确的,您必须更改您的 A 记录以使您的域名与负载均衡器前端的 IP 地址相匹配。