מיפוי דומיינים מותאמים אישית

אתם יכולים להשתמש בדומיין מותאם אישית במקום בכתובת ברירת המחדל ש-App Engine מספק לאפליקציה שלכם.

כדי להשתמש בדומיין מותאם אישית, צריך למפות את הדומיין לאפליקציה ואז לעדכן את רשומות ה-DNS. אפשר למפות דומיין ללא קידומת, כמו example.com, או תת-דומיין, כמו subdomain.example.com. אפשר גם להשתמש בתווים כלליים לחיפוש כדי למפות תת-דומיינים.

כברירת מחדל, כשממפים דומיין לאפליקציה, App Engine מנפיק אישור מנוהל ל-SSL עבור חיבורי HTTPS. מידע נוסף על שימוש ב-SSL עם דומיין מותאם אישית, כולל איך להשתמש באישורי SSL משלכם, זמין במאמר הגנה על דומיינים מותאמים אישית באמצעות SSL.

שימוש בדומיינים בהתאמה אישית עלול להוסיף זמן אחזור משמעותי לתגובות ש-App Engine שולח למשתמשים באפליקציה באזורים מסוימים. האזורים הם:

• us-west2
• us-east4
• northamerica-northeast1
• southamerica-east1
• ‫europe-west2
• europe-west3
• ‫asia-south1
• ‫asia-northeast1
• ‫australia-southeast1

דומיינים מותאמים אישית ב-App Engine משתמשים במאגר של כתובות IP משותפות לכל האפליקציות. אם רוצים להשתמש בכתובת IP שממופה רק לדומיין, צריך להגדיר מאזן עומסים באמצעות App Engine. הפעולה הזו עשויה לצמצם את הבעיה של הסתרת דומיין, שבה בקשה לאפליקציה א' באישור SNI עשויה להיות מנותבת לאפליקציה ב' בכותרת המארח של HTTP.

לפני שמתחילים

• אם אין לכם דומיין, אתם צריכים לקנות אחד. אפשר להשתמש בכל רשם שמות דומיין.

• כדי להוסיף מיפוי של דומיין מותאם אישית או לערוך אותו, בחשבון שלכם צריך להיות מוגדר תפקיד אדמין ב-App Engine (roles/appengine.appAdmin) או תפקיד בהתאמה אישית שכולל את ההרשאה appengine.applications.get.

• אם אתם משתמשים ב-Cloud Load Balancing ובקבוצת נקודות קצה ברשת (NEGS) בלי שרת כדי לנתב תנועה לאפליקציית App Engine, מומלץ למפות את הדומיין המותאם אישית למאזן העומסים במקום ישירות לאפליקציה, ולהשתמש באישורי SSL מנוהלים על ידי Google שנוצרו עבור מאזן העומסים. כך לא צריך לנהל אישורי SSL נפרדים לכל אפליקציה בלי שרת. באמצעות Cloud Load Balancing, אפשר להגדיר מדיניות SSL ששולטת בתכונות של SSL שמאזן העומסים מנהל משא ומתן לגביהן עם הלקוחות.

  מידע נוסף זמין בדפים הבאים:

  • שימוש באישורי SSL בניהול Google
  • שימוש באישורי SSL בניהול עצמי
  • מדיניות SSL

  חשוב לזכור את ההגבלה הבאה:

  • מומלץ להשתמש באמצעי בקרה על תעבורת נכנסת כדי שהאפליקציה תקבל רק בקשות שנשלחות ממאזן העומסים (ומ-VPC אם משתמשים בו). אחרת, המשתמשים יכולים להשתמש בכתובת ה-URL של האפליקציה ב-App Engine כדי לעקוף את מאזן העומסים, את מדיניות האבטחה של Cloud Armor, את אישורי ה-SSL ואת המפתחות הפרטיים שמועברים דרך מאזן העומסים.

מיפוי של דומיין מותאם אישית לאפליקציה

1. במסוף Google Cloud , עוברים לכרטיסייה Application settings בדף Settings של App Engine.

   מעבר להגדרות האפליקציה

   אם אין צורך לשנות את ברירת המחדל של Google Accounts API Referrer, עוברים לשלב הבא.

   אם אתם צריכים להפעיל אימות של Google Workspace בדומיין המותאם אישית, לוחצים על עריכה כדי לשנות את ה-Referrer של Google Accounts API. בתפריט הנפתח אימות Google, בוחרים באפשרות דומיין Google Workspace, ואז מוסיפים את הדומיין, למשל example.com, בשדה הריק.

2. במסוף Google Cloud , עוברים לכרטיסייה Custom Domains בדף Settings של App Engine.

   אל "דומיינים מותאמים אישית"

3. לוחצים על הוספת דומיין מותאם אישית.

4. אם הדומיין שלכם כבר מאומת, הוא יופיע בקטע בחירת הדומיין שבו רוצים להשתמש. בוחרים את הדומיין מהתפריט הנפתח ולוחצים על המשך.

   אם עדיין לא אימתתם את הדומיין, אתם צריכים לבצע את הפעולות הבאות:

   1. בתפריט הנפתח, בוחרים באפשרות אימות דומיין חדש.

   2. מזינים את שם הדומיין ללא קידומת (כמו example.com) ולוחצים על אימות.

      גם אם אתם רוצים למפות רק תת-דומיין, כמו www.subdomain.example.com, צריך להזין את שם הדומיין ללא קידומת כדי לאמת את הבעלות.

      שימו לב ששמות הדומיינים צריכים להיות קצרים מ-64 בייט.

   3. מזינים מידע בחלון Search Console שמופיע. לקבלת עזרה בשימוש ב-Search Console, אפשר לעיין במרכז העזרה של Search Console

   4. אחרי שמשלימים את השלבים ב-Search Console, חוזרים לדף הוספת דומיין חדש מותאם אישית ב- Google Cloud Console.

5. בקטע הפניית הדומיין אל [מזהה פרויקט], מציינים את הדומיין ותתי הדומיין שרוצים למפות.

   מומלץ למפות את הדומיין ללא קידומת ואת תת-הדומיין www. אפשר להוסיף עוד תת-דומיינים לפי הצורך.

   אחרי שמוסיפים את כל המיפויים הרצויים, לוחצים על שמירת מיפויים.

6. לוחצים על המשך כדי לראות את רשומות ה-DNS של הדומיין.

   אפשר לאחזר את הרשומות האלה בכל שלב בכרטיסייה Custom Domains (דומיינים בהתאמה אישית) בדף Settings (הגדרות) של App Engine.

7. נכנסים לאתר של רשם הדומיין ומעדכנים את רשומות ה-DNS עם הרשומות שמוצגות בשלב הקודם.

עדכון רשומות DNS אצל רשם הדומיינים

אחרי שממפים את השירות לדומיין מותאם אישית ב-App Engine, צריך לעדכן את רשומות ה-DNS ברשם הדומיינים. לנוחיותכם, App Engine יוצר ומציג את רשומות ה-DNS שצריך להזין.

1. מאחזרים את פרטי רשומת ה-DNS של מיפויי הדומיין:

   במסוף Google Cloud , עוברים לכרטיסייה Custom Domains בדף Settings של App Engine. בדף מופיעות רשומות ה-DNS של כל הדומיינים שמיפיתם לאפליקציה.

2. מתחברים לחשבון אצל רשם הדומיין ופותחים את דף ההגדרות של ה-DNS.

3. מאתרים את הקטע של רשומות המארח בדף ההגדרות של הדומיין ומוסיפים כל אחת מרשומות ה-DNS שאוחזרו כשמיפיתם את הדומיין לאפליקציה.

   מזינים את הפרטים הבאים בשדות של הרשומה:

   • סוג הרשומה: מזינים את סוג הרשומה שמופיע ברשומת ה-DNS ש-Google יצרה בשבילכם (A, או AAAA, או CNAME).

   • שם הרשומה:

     • ברשומות A או AAAA, מזינים @
     • ברשומות CNAME, מזינים שם דומיין ברמה שלישית. לדוגמה, כדי למפות את תת-הדומיין www.example.com, מזינים www.

   • הערה: אם אתם משתמשים ב-Cloud DNS, אין צורך להוסיף את הסמל @ כשיוצרים רשומת A עבור דומיין הבסיס המותאם אישית (example.com). עם זאת, יכול להיות שתצטרכו לציין את הסמל @ אצל ספקי DNS אחרים, כמו GoDaddy.

   • TTL: מציינים ערך TTL בהתאם לצרכים שלכם.

   • נתונים: מזינים את נתוני הרשומה (rrdata) שמוצגים ברשומת ה-DNS ש-Google יצרה בשבילכם.

     • ברשומות A או AAAA, נתוני הרשומה הם כתובת IP
     • ברשומות CNAME, נתוני הרשומה הם שם דומיין

4. שומרים את השינויים בדף הגדרות ה-DNS בחשבון של הדומיין. ברוב המקרים, השינויים האלה נכנסים לתוקף תוך כמה דקות, אבל במקרים מסוימים יכול להיות שיחלפו כמה שעות, בהתאם לרשם ולזמן החיים (TTL) של רשומות DNS קודמות בדומיין. אפשר להשתמש בכלי dig, כמו הגרסה הזו אונליין של dig, כדי לוודא שרשומות ה-DNS עודכנו בהצלחה.

5. כדי לבדוק שההעברה הצליחה, עוברים לשירות בכתובת ה-URL החדשה שלו, למשל https://www.example.com. שימו לב: יכול להיות שיעברו כמה דקות עד שאישור ה-SSL האוטומטי יונפק.

העברת הבעלות למשתמשים או לחשבונות שירות אחרים Google Cloud

אם אתם צריכים להאציל את הבעלות על הדומיין שלכם למשתמשים אחרים או לחשבונות שירות, אתם יכולים להוסיף הרשאה דרך הדף Search Console. כדי לראות רשימה של חשבונות שירות, פותחים את הדף Service Accounts במסוף Google Cloud .

כדי להוסיף הרשאות דרך Search Console:

1. פותחים את האימות ב-Search Console.

2. בקטע נכסים, לוחצים על הדומיין שרוצים להוסיף לו משתמש או חשבון שירות.

3. בחלונית הצדדית, עוברים אל הגדרות.

4. בקטע הגדרות כלליות, לוחצים על משתמשים והרשאות כדי למצוא את הבעלים של הדומיין.

5. לוחצים על הוספת משתמש ומזינים את מזהה האימייל של המשתמש. בוחרים את ההרשאה הנדרשת שרוצים להעניק למשתמש. למידע נוסף על הרשאות אפשר להיעזר במאמר בנושא ניהול בעלים, משתמשים והרשאות.

6. לוחצים על הוספה כדי להעביר את הבעלות למשתמש.

שימוש בתת-דומיינים

אם הגדרתם מיפוי של תת-דומיין עם תווים כלליים לדומיין המותאם אישית, האפליקציה שלכם תטפל בבקשות של כל תת-דומיין תואם.

• אם המשתמש גולש בדומיין שתואם לשם של גרסת אפליקציה או לשם של שירות, האפליקציה מציגה את הגרסה הזו.
• אם המשתמש גולש בדומיין שתואם לשם שירות, האפליקציה מציגה את השירות הזה.
• יש הגבלה של 20 אישורי SSL מנוהלים בשבוע לכל דומיין בסיס. אם תגיעו למגבלה, App Engine ימשיך לנסות להנפיק אישורים מנוהלים עד שכל הבקשות יטופלו.

מיפויים של תווים כלליים לחיפוש

אפשר להשתמש בתווים כלליים כדי למפות תת-דומיינים בכל רמה, החל מתת-דומיינים ברמה השלישית. לדוגמה, אם הדומיין שלכם הוא example.com והזנתם טקסט בשדה של כתובת האינטרנט:

• הזנת *.example.com ממפה את כל תתי-הדומיין של example.com לאפליקציה שלכם.
• הזנת *.private.example.com ממפה את כל תתי-הדומיין של private.example.com לאפליקציה שלכם.
• הזנת *.nichol.sharks.nhl.example.com ממפה את כל תתי-הדומיין של nichol.sharks.nhl.example.com לאפליקציה שלכם.
• הזנת *.excogitate.system.example.com ממפה את כל תתי-הדומיין של excogitate.system.example.com לאפליקציה שלכם.

אפשר להשתמש במיפויים של תווים כלליים עם שירותים ב-App Engine באמצעות הקובץ dispatch.yaml כדי להגדיר ניתוב בקשות לשירותים ספציפיים.

אם אתם משתמשים ב-Google Workspace עם תתי-דומיינים אחרים בדומיין שלכם, כמו sites ו-mail, המיפויים האלה מקבלים עדיפות גבוהה יותר והם מותאמים קודם, לפני שמתבצע מיפוי של תווים כלליים. בנוסף, אם יש לכם אפליקציות אחרות של App Engine שממופות לתתי-דומיינים אחרים, המיפויים האלה מקבלים עדיפות גבוהה יותר מכל מיפוי של תווים כלליים.

יכול להיות שספקי DNS מסוימים לא יפעלו עם מיפוי של תת-דומיין עם תו כללי לחיפוש. בפרט, ספק DNS צריך לאפשר שימוש בתווים כלליים בCNAME רשומות מארח.

כללי ניתוב עם תווים כלליים חלים על כתובות URL שמכילות רכיבים של שירותים, גרסאות ומופעים, בהתאם לכללי ניתוב השירותים ב-App Engine.

מחיקת דומיינים מותאמים אישית מהאפליקציה

כדי למחוק מיפוי של דומיין מותאם אישית מהאפליקציה, בחשבון שלכם צריך להיות תפקיד אדמין ב-App Engine (roles/appengine.appAdmin) או תפקיד בהתאמה אישית שכולל את ההרשאה appengine.applications.update.

במסוף Google Cloud :

1. עוברים לכרטיסייה דומיינים מותאמים אישית בדף הגדרות של App Engine.

   אל "דומיינים מותאמים אישית"

2. בוחרים את שם הדומיין המותאם אישית ולוחצים על מחיקה.

אפשר גם להשתמש בפקודות gcloud או ב-Admin API כדי למחוק דומיינים בהתאמה אישית.

פתרון בעיות

אם האפליקציה מציגה שגיאות אימות אחרי הגדרת אימות הדומיין ב-Google Workspace עבור הדומיין המותאם אישית, צריך להסיר את המיפוי של הדומיין המותאם אישית ולבצע מחדש את השלבים למיפוי דומיין מותאם אישית לאפליקציה. חשוב להגדיר את אימות הדומיין ב-Google Workspace לפני הגדרת המיפוי של הדומיין המותאם אישית ב-App Engine.

המאמרים הבאים

• כך מאבטחים דומיינים מותאמים אישית באמצעות SSL.
• אם אתם רוצים ש-Cloud Load Balancing ינהל את הבקשות הנכנסות לדומיין המותאם אישית שלכם, תוכלו לקרוא את המאמר בנושא העברת דומיין מותאם אישית של App Engine ל-Cloud Load Balancing.