Я портирую инструмент, который я изначально разработал для AWS, на Kubernetes под Azure (AKS). Он создает облачное приложение, состоящее из нескольких микросервисов, работающих в AWS Fargate. Одним из этих микросервисов является основной пользовательский интерфейс, и для него используется балансировщик нагрузки приложения. В процессе установки инструмент отправляет в Amazon запрос на сертификат, и этот сертификат, после проверки, впоследствии включается в балансировщик нагрузки приложения, который он создает для предоставления доступа https к нашему пользовательскому интерфейсу.
Хорошая вещь в используемом механизме заключается в том, что Amazon управляет сертификатом, который он создает для нас. Когда истекает срок действия сертификата, Amazon автоматически продлевает его, оставляя процесс полностью свободным от рук - никакого ручного вмешательства со стороны любого нашего кода вообще не требуется.
У меня вопрос, есть ли такая вещь для AKS? В частности, нам нужно:
- Возможность программно запросить сертификат.
- Механизм для проверки этого сертификата. Например, в AWS мы используем механизм проверки DNS, который предоставляется вместе с их API управления сертификатами.
- Способ ссылки на сертификат в нашем приложении балансировщик нагрузки.
- Способ автоматического обновления сертификата по истечении срока его действия.
В настоящее время мы используем сгенерированный GoDaddy сертификат в качестве краткосрочного решения и ссылаемся на него в нашем балансировщике нагрузки. Этот сертификат не будет автоматически продлен. В идеале мы хотим, чтобы весь процесс был автоматизирован: от запроса сертификата до его автоматического продления по истечении срока действия. У меня сложилось впечатление, что для Azure нет ничего более прозрачного и хорошо интегрированного, чем то, что предоставляет Amazon, но я надеюсь, что есть некоторые средства для достижения того, что нам нужно. Любые указатели будут оценены.
Питер