首頁猿問在AWS上使用Kubernetes...

在AWS上使用Kubernetes部署HTTP / 2 Web服務器

Go

慕勒3428872 2021-04-06 17:19:01

我有一個Go服務器，該服務器當前與AWS上的Kubernetes一起運行。該網站位于53號路由和管理SSL終止的ELB之下。現(xiàn)在，我想在Web服務器中支持HTTP / 2以便將資源推送到客戶端，并且我看到HTTP / 2要求Web服務器將使用HTTPS。據(jù)此我有幾個問題。HTTP / 2需要HTTPS-在我的情況下，HTTPS邏輯位于ELB中，它為我管理SSL終止。我的應用程序將解密后的數(shù)據(jù)作為簡單的HTTP請求獲取。是否需要刪除ELB才能在Web服務器中啟用HTTP / 2？有什么方法可以將ELB保留在那里并在Web服務器中啟用HTTP / 2嗎？在我的本地開發(fā)中，我使用openssl生成證書。如果部署Web服務器，則需要從AWS獲取CA證書并將其存儲在Kubernetes證書管理器中的某個位置，然后在初始化時注入到我的Web服務器中。推薦的方法是什么？我覺得自己想念什么，所以我將不勝感激。謝謝

查看完整描述

2 回答

炎炎設計

TA貢獻1808條經驗獲得超4個贊

如果您的后端也不是HTTP2，則在AWS負載均衡器上部署HTTP2也沒有任何好處。從技術上講，HTTP2不需要HTTPS，但是沒有人為HTTP實現(xiàn)HTTP2。HTTP2是一種協(xié)議優(yōu)化（簡單的觀點），它消除了SSL協(xié)商中的往返行程，改善了流水線等。如果負載平衡器通過HTTP與您的后端進行通信，則不會有任何改善。由于HTTPS設置過程中往返次數(shù)的減少，負載均衡器的負載將略有下降。

我建議您將后端服務配置為僅使用HTTPS（將客戶端重定向到HTTPS）并使用SSL證書。然后配置HTTP2，順便說一下，這并不容易。您可以將Let's Encrypt用于SSL，效果很好。您還可以使用OpenSSL自簽名證書（我不建議這樣做）。您不能使用AWS服務為后端服務創(chuàng)建SSL證書，而只能為AWS托管服務（CloudFront，ALB等）創(chuàng)建SSL證書。

您還可以使用第4層（TCP）偵聽器設置負載均衡器。這是在后端服務器上設置HTTP2時執(zhí)行的操作?，F(xiàn)在，從客戶端到后端的整個路徑都使用HTTP2，而沒有雙重SSL加密/解密層。

負載均衡器的一項不錯的功能稱為“ SSL卸載”。這意味著您在負載均衡器上啟用SSL，而僅在后端Web服務器上啟用HTTP。這違反了HTTP2。因此，請仔細考慮您真正想要實現(xiàn)的目標，然后設計服務以實現(xiàn)這些目標。

還有一點要考慮。由于您正在研究HTTP2，因此同時刪除了對較舊TLS版本和不安全的加密和哈希算法的服務支持。如今必須強制刪除TLS 1.0，并且我建議也刪除TLS 1.1。除非您確實需要支持舊版瀏覽器或定制的低端硬件，否則TLS 1.2應該成為當今的標準。您的日志文件可以告訴您客戶端是否通過較舊的協(xié)議進行連接。

反對回復 2021-04-19