GCP Google当在GCP上托管微站点时,处理HTTPs的SSL Certs最有效的方法是什么?
我的产品建立在GCP的基础上创建了微站点。它们由连接到GCP负载均衡器的Google功能提供。我的客户想把他们自己的域名指向我的产品的微站点。
考虑到这可能是几十万到数百万个域:在GCP上生成和管理SSL证书最有效的方法是什么?
通过阅读技术文档(如果我错了请纠正我):
- 每个Google管理的SSL证书可以包含100个域.
- 每个负载均衡器前端可以有15个Certs。
- 每个负载均衡器可以有一个静态IP地址和一个https前端。
因此,在15个Certs中,每个IP地址仅限于1,500个域?
If I had 500,000 users, this would mean I would need:
1. 334 IP Addresses?
2. 334 Load Balancers?
3. 334 Frontends?
4. 5,000 Certs?谷歌似乎不支持那么多证书或IP地址。
所以我的问题是:
- 这是扩大google管理证书数量的最佳方法吗?
- 在我对配额的估计和理解中,我是否遗漏了什么?
- google项目所能具有的静态IP地址/证书/负载平衡器的数量是否有限制,以防止扩展到具有自定义域的用户数量?
- 是否完全有另一种方法?
回答 2
Server Fault用户
发布于 2021-02-05 15:26:56
回答你的问题:
在GCP上生成和管理SSL证书的最有效方法是什么?
由于GCP没有一种"SSL管理控制台“,所以管理证书的唯一方法是在每个负载均衡器上。
因此,在15个Certs中,每个IP地址仅限于1,500个域?
是的,你是对的,不可能增加这个限制。
如果我有50万用户,这就意味着我需要?
基于您已经查看过的文档,这是正确的。
这是扩大google管理证书数量的最佳方法吗?
是的,现在是管理GCP上SSL证书的唯一方法。
在我对配额的估计和理解中,我是否遗漏了什么?
不,您对SSL证书和IP地址配额的理解是正确的。
google项目所能具有的静态IP地址/证书/负载平衡器的数量是否有限制,以防止扩展到具有自定义域的用户数量?
静态IP地址也有配额限制,您需要请求配额增加。有关更多参考资料,请查阅您的控制台区域静态IP地址和全局静态IP地址。
是否完全有另一种方法?
目前还没有。
Server Fault用户
发布于 2021-02-10 11:16:55
我和你的情况很相似。我还没有尝试为此创建一个POC,但以下是我对一些可能有用的东西的想法:
您可以运行nginx服务器,为您所服务的每个域设置虚拟主机,而不是管理负载均衡器上的SSL证书。nginx支持一个名为SNI的标准。这允许您为来自单个IP的多个主机名提供SSL证书。从我所读到的,没有硬性的限制,你可以提供多少这样的领域。唯一的限制是对虚拟主机和SSL证书的nginx内存需求。
您仍然需要了解如何添加新的虚拟主机并将ssl证书加载到nginx服务器。
如果您需要的不仅仅是一个nginx服务器,我也不完全需要这样做(您将这样做)。
此外,如果需要,还可以在nginx前面使用负载平衡器。您只需要将它们设置为TCP负载平衡器,而不是HTTP负载平衡器。
编辑-来自nginx的链接,说明v主机或ssl证书没有限制:https://www.nginx.com/faq/is-there-a-limit-to-the-number-of-virtual-hosts-or-ssl-certificates-that-i-can-configure-in-nginx-plus/。
https://serverfault.com/questions/1052406
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号