AWS ECS 获得 public 个用于内部后端通信的证书
AWS ECS get public certificates for internal backend communication
考虑以下场景:后端中的某个容器 运行,例如在 AWS Fargate 或 ECS 上,容器之间的通信以及与其他后端组件(例如 AWS API 网关)的通信应该是 TLS 加密的。由于并非所有组件都接受自签名证书(例如 AWS API 网关),因此容器应使用 public 证书。
就成本和有效期(一年或更长)而言,为此类内部后端通信用例获取 public 证书的最佳方式是什么。
据我所知,AWS 颁发的证书不起作用,因为这些证书只能用于负载均衡器或 API GW,但不能用于 ECS/Fargate 上的容器 运行 .
您是正确的,public ACM SSL 只能附加到以下之一:
- CloudFront
- 应用程序负载均衡器
- 网络负载均衡器(带 TLS 侦听器)
- API 网关
除了这些资源之外,您还有一些可用的选择:
- 使用 certbot to generate a free SSL, there's even an official Docker image.
- 为您打包在 Docker 图像中的自己的证书付费。
- 使用 ACM 的付费 private CA registry 功能。
考虑以下场景:后端中的某个容器 运行,例如在 AWS Fargate 或 ECS 上,容器之间的通信以及与其他后端组件(例如 AWS API 网关)的通信应该是 TLS 加密的。由于并非所有组件都接受自签名证书(例如 AWS API 网关),因此容器应使用 public 证书。
就成本和有效期(一年或更长)而言,为此类内部后端通信用例获取 public 证书的最佳方式是什么。
据我所知,AWS 颁发的证书不起作用,因为这些证书只能用于负载均衡器或 API GW,但不能用于 ECS/Fargate 上的容器 运行 .
您是正确的,public ACM SSL 只能附加到以下之一:
- CloudFront
- 应用程序负载均衡器
- 网络负载均衡器(带 TLS 侦听器)
- API 网关
除了这些资源之外,您还有一些可用的选择:
- 使用 certbot to generate a free SSL, there's even an official Docker image.
- 为您打包在 Docker 图像中的自己的证书付费。
- 使用 ACM 的付费 private CA registry 功能。