TLS(SSL)-сертификаты балансировщика нагрузки

TLS(SSL)-сертификаты балансировщика нагрузки

Для работы с HTTPS-трафиком на балансировщик необходимо добавить TLS(SSL)-сертификат, чтобы балансировщик мог читать HTTPS-запросы и использовать информацию протокола HTTP для правильной балансировки. Терминация TLS-сертификата происходит на балансировщике, балансировщик передает данные серверам по HTTP.

Если вы настраиваете балансировщик для работы с кластером Managed Kubernetes, для добавления сертификата используйте инструкцию Терминировать TLS-соединения⁠ в разделе Managed Kubernetes. Для корректной работы балансировщика в кластере все действия с балансировщиком необходимо выполнять через kubectl.

Балансировщик нагрузки работает с TLS(SSL)-сертификатами из менеджера секретов. Вы можете:

• выпустить бесплатный Let's Encrypt® сертификат, в том числе Wildcard (для домена и поддоменов);
• добавить пользовательский сертификат, поддерживаются сертификаты с опциями SAN (один сертификат для нескольких доменов) и Wildcard.

Сертификаты с пустым полем CN (Common Name) не поддерживаются в балансировщиках нагрузки.

При перевыпуске или обновлении сертификата в менеджере он автоматически обновится на балансировщике. Сессии со старым сертификатом будут прерваны и переустановлены с новым сертификатом в течение трех часов после обновления сертификата. Для большинства протоколов переустановка сессий происходит незаметно для конечных пользователей.

Сертификат добавляется при создании правила. В панели управления для правила можно выбрать только один сертификат. Если вам нужно добавить в правило несколько сертификатов, сертификаты нужно добавить через OpenStack CLI.

Добавить несколько TLS(SSL)-сертификатов для балансировщика⁠

1. Добавьте TLS(SSL)-сертификаты в менеджере секретов — выпустите Let's Encrypt® сертификаты или загрузите пользовательские. Сертификаты с пустым полем CN (Common Name) не поддерживаются в облачных балансировщиках нагрузки.

2. Откройте OpenStack CLI.

3. Добавьте сертификаты — создайте новое правило для балансировщика нагрузки или обновите существующее:

   Создать правило

   openstack loadbalancer listener create \
     -v --protocol-port 443 \
     --protocol TERMINATED_HTTPS \
     --name <listener_name> \
     --default-tls-container=<certificate_uuid_1> \
     --sni-container-refs <certificate_uuid_1> <certificate_uuid_2> \
     -- <loadbalancer>

   Укажите:

   • <listener_name> — имя правила;
   • <certificate_uuid_1>, <certificate_uuid_2> — ID сертификатов. Можно скопировать в панели управления: в верхнем меню нажмите Продукты → Менеджер секретов → вкладка Сертификаты → в меню сертификата выберите Скопировать UUID;
   • <loadbalancer> — ID или имя балансировщика. Список можно посмотреть с помощью команды openstack loadbalancer list.

   Обновить правило

   openstack loadbalancer listener set \
     --sni-container-refs <certificate_uuid_1> <certificate_uuid_2> \
     -- <listener>

   Укажите:

   • <certificate_uuid_1>, <certificate_uuid_2> — ID сертификатов. Можно скопировать в панели управления: в верхнем меню нажмите Продукты → Менеджер секретов → вкладка Сертификаты → в меню сертификата выберите Скопировать UUID;
   • <listener> — ID или имя правила. Список можно посмотреть с помощью команды openstack loadbalancer listener list.