如何为 GKE Gateway 启用 HTTPS (Google 托管证书)

原创 已于 2025-11-18 01:07:23 修改 · 1.4k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#gateway #https #googlecloud

于 2025-11-18 01:06:08 首次发布

一、 核心目标

我们的目标是为域名 gateway.jpgcp.cloudjpgcp.shop 启用安全的 HTTPS 访问,并使用由 Google 自动管理和续订的免费 SSL 证书。

在这里插入图片描述

二、 技术选型:Google 托管证书

我们采用的是 GKE Gateway 推荐的、最现代化的方法:使用 Google 托管证书

优点

  • 完全免费: 您无需为 SSL 证书本身支付任何费用。
  • 全自动管理: Google 会自动处理证书的申请、颁发、安装和最重要的——自动续订。您再也无需担心证书过期问题。
  • 高度可信: 证书由公共 CA(如 Google Trust Services 或 Let’s Encrypt)颁发,受所有现代浏览器信任。

限制

  • 不支持通配符域名: 您不能为 *.jpgcp.cloud 这样的通配符域名申请证书,必须明确列出所有域名(如 gateway.jpgcp.cloud)。
  • 域名数量限制: 每个证书资源最多支持 100 个域名。
  • 域名长度限制: 每个域名长度不能超过 63 个字符。

对于我们的项目来说,这些限制完全不构成问题,因此使用 Google 托管证书是最佳选择。

三、 实现步骤详解

整个过程分为两步:创建证书使用证书

第一步:使用 gcloud 创建证书资源

我们没有在 k8s 目录中创建 YAML 文件,而是直接通过 gcloud 命令,向 Google Cloud 的计算引擎 API 申请了一个全球 SSL 证书。

执行的命令:

gcloud compute ssl-certificates create gke-gateway-ssl-cert \
    --domains=gateway.jpgcp.cloud,jpgcp.shop \
    --global
  • create gke-gateway-ssl-cert: 创建一个名为 gke-gateway-ssl-cert 的新证书。
  • --domains: 明确指定这个证书要保护的所有域名。
  • --global: 因为我们的 GKE Gateway 是全球性的,所以证书也必须是全球性的。

执行此命令后,Google Cloud 会开始在后台自动进行域名所有权验证并颁发证书。

第二步:修改 gateway.yaml 以使用证书

在证书创建请求发出后,我们更新了 k8s/gateway.yaml 文件,来告诉 Gateway 如何使用这个证书。

最终的 Gateway 资源配置 (k8s/gateway.yaml):

apiVersion: gateway.networking.k8s.io/v1beta1
kind: Gateway
metadata:
  name: py-api-gateway
spec:
  gatewayClassName: gke-l7-global-external-managed
  listeners:
    # ... http listener ...
    - name: https
      protocol: HTTPS
      port: 443
      allowedRoutes:
        namespaces:
          from: Same
      tls:
        mode: Terminate
        options:
          networking.gke.io/pre-shared-certs: gke-gateway-ssl-cert

第三步:深入理解 tls.mode: Terminate

您可能会问:“我们不是要启用 TLS 吗?为什么这里要‘终止’(Terminate)它?”

这是一个非常好的问题。mode: Terminate 是一种被称为 “TLS 终止” 的标准网络架构模式。它描述了加密流量如何被处理。

流量路径如下:

用户浏览器 <-- HTTPS (加密) --> GKE Gateway (负载均衡器) <-- HTTP (未加密) --> 您的应用 Pod (Nginx)

  1. 加密的外部连接:从用户的浏览器到 GKE Gateway 这一段,流量是完全加密的,保证了数据在公共互联网上传输的安全性。
  2. 在 Gateway 终止 TLSmode: Terminate 的含义是,GKE Gateway 作为加密的终点。它会使用我们配置的 SSL 证书来解密收到的 HTTPS 流量。
  3. 未加密的内部连接:在解密之后,Gateway 会将请求变为普通的、未加密的 HTTP 流量,然后通过 Google 安全的内部网络,将其转发给后端的应用 Pod。

为什么这么做?

这种模式极大地简化了后端应用的复杂性。我们的 Nginx 应用容器本身不需要配置和管理任何 SSL 证书,也无需处理 HTTPS 的加解密开销。它只需要处理最简单的 HTTP 请求即可。所有关于 TLS 的复杂工作,都由 Google 托管的、高性能的 Gateway/负载均衡器来完成了。

所以,Terminate 终止的不是“安全”,而是“加密层”。它将加密层从应用本身剥离,并前置到了网络边缘的网关上,这是一种非常高效和常见的最佳实践。

为 Kubernetes 提供智能的 LLM 推理路由:Gateway API Inference Extension 深度解析
cr7258的博客
04-10 1545
Gateway API Inference Extension 为 Kubernetes 上的 LLM 推理服务提供了专业化的流量路由解决方案。通过模型感知路由、服务优先级和智能负载均衡等特性,它有效提高了 GPU 资源利用率,降低了推理延迟。
如何为 GCE 上的 Envoy 代理启用 HTTPS (使用 Google Cloud Load Balancer)
nvd11的专栏
11-21 1278
本文介绍了在Google Compute Engine(GCE)上为Envoy代理配置HTTPS的最佳实践方案。通过使用Google Cloud全球外部HTTPS负载均衡器托管SSL证书,将SSL终端放在负载均衡器层面,而非Envoy代理本身。这种架构具有简化配置、自动证书管理、增强安全性以及提升性能等优势。文章详细说明了流量路径:用户通过HTTPS访问负载均衡器,负载均衡器解密后通过HTTP将请求转发给运行Envoy的GCE虚拟机,再由Envoy路由到Cloud Run服务。同时解答了关于后端服务作用、多
云平台托管集群:EKS、GKE、AKS 深度解析与选型指南-第一章
2401_86478612的博客
08-06 1029
本文系统对比了三大云平台的Kubernetes托管服务(EKS、GKE、AKS)的核心架构与特性。重点分析了控制平面管理、工作节点模型和网络架构三大维度:1)控制平面均由云厂商全托管,但在升级策略和可用性设计上存在差异;2)工作节点管理方面,EKS提供Karpenter等创新工具,GKE推出革命性的Autopilot无节点模式,AKS则支持虚拟节点;3)网络模型各具特色,EKS深度集成AWS安全组,GKE原生支持网络策略,AKS与Azure网络服务紧密整合。文章为企业在云原生架构选型提供了全面的技术参考。
云平台托管集群:EKS、GKE、AKS 深度解析与选型指南-第二章
2401_86478612的博客
08-06 1329
提供统一的控制平面(GKE On-Prem/Anthos clusters on AWS/Azure 的控制平面运行在用户环境或 GCP)、统一的策略管理(Anthos Policy Controller)、统一的服务网格(Anthos Service Mesh)、统一的配置管理(Anthos Config Management)。Azure Policy 提供大量内置策略(如限制特权容器、强制镜像来源、禁用主机网络等),可直接在 Azure 门户中应用到 AKS 集群,实现策略的集中管理和审计。
实战:Gateway API-2022.2.13
weixin_39246554的博客
02-13 1190
目录 文章目录目录实验环境实验软件1、Gateway API2、面向角色设计3、概念1.GatewayClass2.Gateway3.Route 资源4.组合4、实现???? 实战演示1:部署一个简单的 Host 主机(测试成功)???? 实战演示2:带路径的 Host 主机(测试成功)???? 实战演示3:金丝雀发布(测试成功)QA???? 阳总个人感觉:这个`gateway会慢慢取代ingress的`???? QA:是否支持 rewrite ,和正则匹配???? gateway api和trafkic或
云平台托管集群:EKS、GKE、AKS 深度解析与选型指南-第三章
2401_86478612的博客
08-06 699
免费套餐: Azure 提供 Azure Free Account,包含 12 个月免费服务(包括特定类型的 Linux/Windows VM,如 B1s 系列,可用于运行 AKS 节点,有使用限制),以及 Always Free 服务(如一定额度的 Blob Storage, File Storage, Cosmos DB 等)。AKS 控制平面免费。价格通常高于同等规格的 On-Demand CE,但包含了所有管理成本(控制平面、节点管理、自动扩缩容、升级),并承诺资源利用率优化带来的潜在成本节约。
天外客翻译机Google TPU云上部署路径
weixin_42589700的博客
11-22 982
本文深入解析天外客翻译机如何基于Google TPU实现高效云端AI推理,涵盖模型静态化、XLA编译、批处理优化及分布式部署等关键技术,并介绍其端云协同架构、延迟控制与成本优化策略,展现TPU在实时翻译场景中的性能优势与落地实践。
19、Anthos 网络环境与服务连接性详解
oil88的博客
09-09 28
本文深入解析了 Anthos 的网络环境与服务连接性,涵盖 VPC 服务控制配置、GKE IP 地址规划、私有使用公共 IP(PUPI)缓解地址耗尽问题,以及在 GCP 和混合多云环境下的多集群网络架构。详细介绍了客户端到服务、服务到服务及服务到外部服务的连接模式,并结合 Anthos Service Mesh(ASM)提供了安全、高效的通信方案。文章还总结了不同场景下的操作要点与优化建议,帮助用户构建弹性、安全且高性能的 Anthos 平台。
28、容器编排与无服务器技术实战
dd012的博客
09-06 34
本文深入探讨了容器编排与无服务器技术的实战应用,涵盖了销毁GKE集群、使用不同云提供商部署Python函数、无服务器技术的用例与未来趋势等内容。通过实际操作步骤和案例分析,帮助开发者更好地理解FaaS与CaaS的区别与应用,为构建高效的云原生应用提供指导。
探索GoogleCloud运行时环境:GKE企业版与CloudRun
### 探索 Google Cloud 运行时环境:GKE 企业版与 Cloud Run 在当今数字化时代,企业对于高效、灵活且安全的应用程序部署和运行环境的需求日益增长。Google Cloud 提供了多种运行时环境,其中 GKE 企业版(GKE ...
探索GoogleCloud运行时环境:GKEGKEEnterprise与CloudRun
### 探索 Google Cloud 运行时环境:GKEGKE Enterprise 与 Cloud Run 在当今的云计算领域,选择合适的运行时环境对于应用程序的成功部署和运行至关重要。Google Cloud 提供了多种运行时环境,其中 GKEGoogle ...
13、在Google Cloud Platform和Amazon Web Services上部署Kubeflow指南
h0i1j2k3l的博客
08-16 31
本文详细介绍了如何在Google Cloud Platform和Amazon Web Services上部署Kubeflow,包括在GKE和EKS上的部署步骤、访问Kubeflow用户界面、安装相关工具以及配置安全和性能优化建议。同时,还提供了常见问题的解决方案和后续扩展操作,帮助用户全面掌握Kubeflow在主流云平台上的应用。
2025最新 SpringCloud 教程,Gateway-过滤器-自定义,全局跨域,总结,笔记61,笔记62,笔记63
最新发布
Rockandrollman的博客
12-05 73
2025最新 SpringCloud 教程,Gateway-过滤器-自定义,全局跨域,总结,笔记61,笔记62,笔记63
springcloud-eureka与gateway简易搭建
2509_94197320的博客
12-01 521
启动服务后,可通过eureka提供的web控制台查看服务注册状态。启动服务,可以看到已经成功注册到eureka上。至此eureka已经部署完成。
2025最新 SpringCloud 教程,Gateway-断言-长短写法,笔记55
Rockandrollman的博客
12-04 181
2025最新 SpringCloud 教程,Gateway-断言-长短写法,笔记55
SpringCloud Gateway 集成 Sentinel 详解 及实现动态监听Nacos规则配置实时更新流控规则
2509_94104857的博客
12-01 751
Sentinel是家族的服务保护组件,很多项目在前中期没有遇到流量突增不太注意服务保护的重要性,当流量突增打爆应用服务或数据库时束手无策,可以不配置流控规则,但是需要时一定可以热加载使用,本文会对集成Sentinel以及动态拉取Nacos配置规则实现热加载流控规则进行讲解。官网地址因为不会持久化手动配置的流控规则,一般情况下我们都会提前配置一些我们需要的规则,可以通过代码或者配置文件配置。
2025最新 SpringCloud 教程,Gateway-过滤器-默认过滤器,笔记59
Rockandrollman的博客
12-05 60
2025最新 SpringCloud 教程,Gateway-过滤器-默认过滤器,笔记59
Spring Cloud Gateway 整合Spring Security
2509_94087843的博客
12-01 285
在Security中用户信息需存放在中,是一个接口,可以使用Security已经实现的,也可以实现接口自定义用户信息类。/***/@Data/*** token*//***//***//***//*** location*//***//***//*** 用户名*//*** 账号密码*//*** 权限列表*/@Override@Override@Override/***/@Override。
Spring Cloud GateWay搭建
2509_94088022的博客
12-01 501
注册中心,常用的有:Eureka、Consul、Zookeeper、Nacos,此处要明白一点是注册中心本身就是一个服务,所以对注册中心而言,不仅仅局限于java编写的,也存在于是其他语言编写,本质是一个server软件,只需要满足注册中心的功能即可。注册中心服务已启动完毕,接下来启动两个微服务作为注册中的client。针对两个服务各自创建两个控制层接口,顺便在配置文件中定义下服务的请求上下文路径。简单搭建一个,有注册中心,两个微服务,一个网关的组成的微服务架构。此时证明我们的注册中心服务以启动完毕!
Python库google-cloud-gke-connect-gateway深度解析
这个库的全名为google-cloud-gke-connect-gateway-0.2.3.tar.gz,主要针对的开发语言是Python。 Python是一种广泛使用的高级编程语言,它以其简洁明了的语法和强大的功能而受到开发者的喜爱。Python具有丰富的库和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

nvd11

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值