Apache nifi 内部https负载平衡器GCP后面的Nifi实例

我有一个nifi实例在服务器上运行

 https://localhost:9443/nifi
 https://delta:9443/nifi

该实例仍在本地计算机上运行。我希望在nifi实例前面有一个内部https负载平衡器。我读到我们可以在nifi-cert上添加负载平衡器的SAN ip地址。我仍然对DNS和SAN地址感到困惑。我有一个https负载平衡器的自签名证书，还有一个负载平衡器的DNS条目。现在，当我创建一个独立的nifi CA时，我是否必须将负载平衡器的DNS作为

tls-toolkit.sh standalone -n 'loadbalancer DNS' -C 'CN=username,OU=NIFI' --subjectAlternativeNames 'lb-ip-address'

---

还是我遗漏了一些重要的东西？

我不确定SAN flag是否会接受域名以外的其他东西，而不是IP地址，但根据它可能会起作用

---

-n标志应填充与前端（负载平衡器）关联的域名。

我已经厌倦了您在链接中提到的相同内容。jetty服务器没有绑定DNS名称。我已检查DNS名称是否解析为负载平衡器ip。您可以先使用内部HTTP重试，如果可以，请添加或使用内部HTTP负载平衡器重试。另外，您可能会看一看它是否仅为本地主机设置。如果是，您应该将其从127.0.0.1更改为0.0.0.0。我发现，由于负载平衡器ip不在linux etc/hosts文件中，jetty服务器不会绑定ip地址。因此，我为独立nifi创建了客户端证书，并将负载平衡器从https更改为网络负载平衡器。所以现在TLS的终止将发生在nifiIt，看来你已经找到了解决问题的方法。是的，最终当我们在云上使用https负载平衡器时，由于TLS终止，请求头与来自客户端的头不一样。由于我有客户端证书而不是代理证书，Nifi将不接受它。因此，我们必须将负载平衡器从https更改为tcp