域名ssl证书 持续集成与持续部署宝典Part 3：创建集成环境(4)

??

4.容器创建类实例，即创建。

manager node 负责创建这个 service，经过分析知道需要启动 3 个 httpd 容器，根据当前各 worker node 的状态将运行容器的任务分配下去，比如 worker1 上运行两个容器，worker2 上运行一个容器。

与之对应的服务端将创建一个 serversocket 实例，serversocket 创建比较简单只要指定的端口号没有被占用，一般实例创建都会成功，同时操作系统也会为 serversocket 实例创建一个底层数据结构，这个数据结构中包含指定的端口号和包含地址的通配符，通常情况下都是“*”即所有地址。

2、负载均衡系统： 负载均衡又有dns负载均衡（比较常用）、ip负载均衡、反向代理负载均衡等，也就是在集群中有服务器a、b、c，它们都是互不影响，互不相干的，任何一台的机器宕了，都不会影响其他机器的运行，当用户来一个请求，有负载均衡器的算法决定由哪台机器来处理，假如你的算法是采用round算法，有用户a、b、c，那么分别由服务器a、b、c来处理。

??

goauth.integration.testing.gomessenger.com.

??

随着越来越多的容器在各个Rancher计算节点上启动与关闭，Route53服务将保持DNS记录的一致性。这对我们的集成测试环境来说至关重要，我们稍后就会看到它的重要性。我们需要重新启动环境容器来，以便将更新作为持续部署的一部分。通过使用Route53 DNS集成，我们不必再为给我们的客户和测试人员获取最新主机名而担心了。

启用HTTPS

在为我们的环境创建DNS记录后，让它支持HTTPS协议会是一个不错的选择。首先，我们需要拿到我们域名的SSL证书。你可以从很多可信任的证书颁发机构中选择一个购买域名的SSL证书。如果你没有证书，可以生成自签名（self-signed）证书来完成设置，在一段时间后把它更换成可信任的证书。自签名证书的含义是：任何用户都会在浏览器中看到“此连接不可信”的警告，但通信仍然是加密的。那么要生成自签名证书，首先需要生成ssl密钥，它可以由openssl的genrsa命令实现。然后你可以用这个密钥文件，使用req命令生成证书。下面列出了这一步骤。你也可以将证书的sha256指纹打印并储存下来，这样就手动地保证了在发出HTTPS请求时向你显示相同的证书。在缺少可信证书的情况下，手动匹配指纹是避免中间人×××的唯一方法。

??

现在你已经拥有了证书和私钥文件，下面需要讲这些文件上传到Rancher中。我们可以在Rancher??UI的Infrastructure选项卡，单击Certificates部分的Add??Certificate按钮上传证书。你还需要给你的证书起一个有意义的名称，填写描述。接着分别在Private Key和Certificate字段复制粘贴integration.gomessenger.com.key和integration.gomessenger.com.crt的内容（或者选择Read??from??File从文件读取）。在完成了表单后，点击保存，等待片刻证书便生效了。

??

证书激活之后，我们可以将HTTPS端点添加到我们的环境中。想要做到这一点，我们必须修改rancher-compose文件，让它包含SSL端口配置。我们将第二个端口（9001）添加到ports部分，让我们的环境可以在负载均衡器之外访问，并且使用io.rancher.loadbalancer.ssl.ports标签指定'9001'是具有SSL终止的公共负载均衡器端口。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-89207-4.html