首頁(yè) 猿問(wèn) 在AWS上使用Kubernetes...

在AWS上使用Kubernetes部署HTTP / 2 Web服務(wù)器

Go

慕勒3428872 2021-04-06 17:19:01

我有一個(gè)Go服務(wù)器，該服務(wù)器當(dāng)前與AWS上的Kubernetes一起運(yùn)行。該網(wǎng)站位于53號(hào)路由和管理SSL終止的ELB之下?，F(xiàn)在，我想在Web服務(wù)器中支持HTTP / 2以便將資源推送到客戶(hù)端，并且我看到HTTP / 2要求Web服務(wù)器將使用HTTPS。據(jù)此我有幾個(gè)問(wèn)題。HTTP / 2需要HTTPS-在我的情況下，HTTPS邏輯位于ELB中，它為我管理SSL終止。我的應(yīng)用程序?qū)⒔饷芎蟮臄?shù)據(jù)作為簡(jiǎn)單的HTTP請(qǐng)求獲取。是否需要?jiǎng)h除ELB才能在Web服務(wù)器中啟用HTTP / 2？有什么方法可以將ELB保留在那里并在Web服務(wù)器中啟用HTTP / 2嗎？在我的本地開(kāi)發(fā)中，我使用openssl生成證書(shū)。如果部署Web服務(wù)器，則需要從AWS獲取CA證書(shū)并將其存儲(chǔ)在Kubernetes證書(shū)管理器中的某個(gè)位置，然后在初始化時(shí)注入到我的Web服務(wù)器中。推薦的方法是什么？我覺(jué)得自己想念什么，所以我將不勝感激。謝謝

查看完整描述

2 回答

炎炎設(shè)計(jì)

TA貢獻(xiàn)1808條經(jīng)驗(yàn) 獲得超4個(gè)贊

如果您的后端也不是HTTP2，則在AWS負(fù)載均衡器上部署HTTP2也沒(méi)有任何好處。從技術(shù)上講，HTTP2不需要HTTPS，但是沒(méi)有人為HTTP實(shí)現(xiàn)HTTP2。HTTP2是一種協(xié)議優(yōu)化（簡(jiǎn)單的觀點(diǎn)），它消除了SSL協(xié)商中的往返行程，改善了流水線(xiàn)等。如果負(fù)載平衡器通過(guò)HTTP與您的后端進(jìn)行通信，則不會(huì)有任何改善。由于HTTPS設(shè)置過(guò)程中往返次數(shù)的減少，負(fù)載均衡器的負(fù)載將略有下降。

我建議您將后端服務(wù)配置為僅使用HTTPS（將客戶(hù)端重定向到HTTPS）并使用SSL證書(shū)。然后配置HTTP2，順便說(shuō)一下，這并不容易。您可以將Let's Encrypt用于SSL，效果很好。您還可以使用OpenSSL自簽名證書(shū)（我不建議這樣做）。您不能使用AWS服務(wù)為后端服務(wù)創(chuàng)建SSL證書(shū)，而只能為AWS托管服務(wù)（CloudFront，ALB等）創(chuàng)建SSL證書(shū)。

您還可以使用第4層（TCP）偵聽(tīng)器設(shè)置負(fù)載均衡器。這是在后端服務(wù)器上設(shè)置HTTP2時(shí)執(zhí)行的操作?，F(xiàn)在，從客戶(hù)端到后端的整個(gè)路徑都使用HTTP2，而沒(méi)有雙重SSL加密/解密層。

負(fù)載均衡器的一項(xiàng)不錯(cuò)的功能稱(chēng)為“ SSL卸載”。這意味著您在負(fù)載均衡器上啟用SSL，而僅在后端Web服務(wù)器上啟用HTTP。這違反了HTTP2。因此，請(qǐng)仔細(xì)考慮您真正想要實(shí)現(xiàn)的目標(biāo)，然后設(shè)計(jì)服務(wù)以實(shí)現(xiàn)這些目標(biāo)。

還有一點(diǎn)要考慮。由于您正在研究HTTP2，因此同時(shí)刪除了對(duì)較舊TLS版本和不安全的加密和哈希算法的服務(wù)支持。如今必須強(qiáng)制刪除TLS 1.0，并且我建議也刪除TLS 1.1。除非您確實(shí)需要支持舊版瀏覽器或定制的低端硬件，否則TLS 1.2應(yīng)該成為當(dāng)今的標(biāo)準(zhǔn)。您的日志文件可以告訴您客戶(hù)端是否通過(guò)較舊的協(xié)議進(jìn)行連接。

反對(duì) 回復(fù) 2021-04-19