פריסת אישור בניהול עצמי בכמה אזורים

במדריך הזה מוסבר איך להשתמש ב-Certificate Manager כדי לפרוס אישור גלובלי בניהול עצמי למאזן עומסים של אפליקציות (ALB) פנימי בין-אזורי.

אם רוצים לפרוס למאזני עומסים חיצוניים גלובליים או למאזני עומסים אזוריים, אפשר לעיין במאמרים הבאים:

מטרות

במדריך הזה מוסבר איך לבצע את הפעולות הבאות:

  • מעלים אישור בניהול עצמי אל Certificate Manager.
  • פורסים את האישור למאזן עומסים נתמך באמצעות פרוקסי HTTPS של יעד.

לפני שמתחילים

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. התקינו את ה-CLI של Google Cloud.

  6. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  7. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Compute Engine, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. התקינו את ה-CLI של Google Cloud.

  12. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  13. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

    gcloud init

התפקידים הנדרשים

כדי לבצע את המשימות במדריך הזה, צריך לוודא שיש לכם את התפקידים הבאים:

  • בעלים של Certificate Manager (roles/certificatemanager.owner)

    נדרשת כדי ליצור ולנהל משאבים של Certificate Manager.

  • אדמין של איזון עומסים ב-Compute‏ (roles/compute.loadBalancerAdmin) או אדמין של רשת מחשוב (roles/compute.networkAdmin)

    נדרש כדי ליצור ולנהל שרת proxy ליעד HTTPS.

למידע נוסף, קראו את המאמרים הבאים:

יצירת מאזן העומסים

במדריך הזה מניחים שכבר יצרתם והגדרתם את הקצוות העורפיים של מאזן העומסים, בדיקות התקינות, השירותים לקצה העורפי ומיפוי כתובות ה-URL. חשוב לרשום את השם של מפת כתובות ה-URL, כי תצטרכו אותו בהמשך המדריך הזה.

אם לא יצרתם מאזן עומסים פנימי של אפליקציות (ALB) בכמה אזורים, כדאי לעיין במאמר בנושא הגדרה של מאזן עומסים פנימי של אפליקציות (ALB) בכמה אזורים עם קצה עורפי של קבוצת מכונות וירטואליות.

יצירת מפתח פרטי ואישור

כדי ליצור מפתח פרטי ואישור:

  1. משתמשים ברשות אישורים (CA) מהימנה מצד שלישי כדי להנפיק את האישור ואת המפתח שמשויך אליו.

  2. מוודאים שהאישור מקושר בצורה נכונה ושהוא מהימן.

  3. מכינים את הקבצים הבאים בקידוד PEM:

    • קובץ האישור (CRT)
    • קובץ המפתח הפרטי התואם (KEY)

במאמר יצירת מפתח פרטי ואישור מוסבר איך לבקש אישור ולאמת אותו.

העלאת אישור בניהול עצמי ל-Certificate Manager

כדי להעלות את האישור אל Certificate Manager:

המסוף

  1. נכנסים לדף Certificate Manager במסוף Google Cloud .

    מעבר אל Certificate Manager

  2. בכרטיסייה אישורים, לוחצים על הוספת אישור.

  3. בשדה שם האישור, מזינים שם ייחודי לאישור.

  4. אופציונלי: בשדה Description, מזינים תיאור של האישור. התיאור מאפשר לכם לזהות את האישור.

  5. בקטע מיקום, בוחרים באפשרות גלובלי.

  6. בקטע היקף, בוחרים באפשרות כל האזורים.

  7. בשביל Certificate type, בוחרים Create self-managed certificate.

  8. בשדה Certificate, מבצעים אחת מהפעולות הבאות:

    • לוחצים על הלחצן העלאה ובוחרים את קובץ האישור בפורמט PEM.
    • מעתיקים ומדביקים את התוכן של אישור בפורמט PEM. התוכן חייב להתחיל ב------BEGIN CERTIFICATE----- ולהסתיים ב------END CERTIFICATE-----.

  9. בשדה Private key certificate, מבצעים אחת מהפעולות הבאות:

    • לוחצים על הלחצן העלאה ובוחרים את המפתח הפרטי. המפתח הפרטי צריך להיות בפורמט PEM ולא מוגן באמצעות סיסמה.
    • מעתיקים ומדביקים את התוכן של מפתח פרטי בפורמט PEM. המפתחות הפרטיים צריכים להתחיל ב------BEGIN PRIVATE KEY----- ולהסתיים ב------END PRIVATE KEY-----.

  10. בשדה Labels (תוויות), מציינים את התוויות לשיוך לאישור. כדי להוסיף תווית, לוחצים על Add label ומציינים מפתח וערך לתווית.

  11. לוחצים על יצירה.

    האישור החדש מופיע ברשימת האישורים.

gcloud

כדי ליצור אישור בניהול עצמי שזמין בכמה אזורים, משתמשים בפקודה certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --scope=all-regions

מחליפים את מה שכתוב בשדות הבאים:

  • CERTIFICATE_NAME: שם האישור.
  • CERTIFICATE_FILE: הנתיב ושם הקובץ של אישור ה-CRT.
  • PRIVATE_KEY_FILE: הנתיב ושם הקובץ של קובץ המפתח הפרטי של KEY.

Terraform

כדי להעלות אישור בניהול עצמי, אפשר להשתמש במשאב google_certificate_manager_certificate עם הבלוק self_managed.

API

כדי להעלות את האישור, צריך לשלוח בקשת POST ל-method‏ certificates.create באופן הבא:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: "ALL_REGIONS"
  }
}

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • CERTIFICATE_NAME: שם האישור.
  • PEM_CERTIFICATE: אישור ה-PEM.
  • PEM_KEY: מפתח ה-PEM.

פריסת האישור בניהול עצמי במאזן עומסים

כדי לפרוס את האישור הגלובלי בניהול עצמי, צריך לצרף אותו ישירות לשרת ה-proxy של היעד.

צירוף האישור ישירות לשרת ה-proxy של היעד

אפשר לצרף את האישור לשרת proxy חדש של יעד או לשרת proxy קיים של יעד.

כדי לצרף את האישור לשרת proxy חדש ליעד, משתמשים בפקודה gcloud compute target-https-proxies create:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --global

מחליפים את מה שכתוב בשדות הבאים:

  • PROXY_NAME: שם של שרת proxy של היעד.
  • URL_MAP: השם של מפת URL. יצרתם את מפת ה-URL כשיצרתם את מאזן העומסים.
  • CERTIFICATE_NAME: שם האישור.

כדי לצרף את האישור ל-proxy קיים של HTTPS, משתמשים בפקודה gcloud compute target-https-proxies update. אם אתם לא יודעים את השם של שרת ה-proxy הקיים ליעד, עוברים לדף Target proxies ורושמים את השם של שרת ה-proxy ליעד.

gcloud compute target-https-proxies update PROXY_NAME \
    --global \
    --certificate-manager-certificates=CERTIFICATE_NAME

אחרי שיוצרים או מעדכנים את פרוקסי היעד, מריצים את הפקודה הבאה כדי לאמת אותו:

gcloud compute target-https-proxies list

הסרת המשאבים

כדי להימנע מחיובים בחשבון Google Cloud על המשאבים שבהם השתמשתם במדריך הזה, מוחקים את האישור שהועלה:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

מחליפים את CERTIFICATE_NAME בשם של אישור היעד.

אם אתם לא מתכוונים להשתמש במאזן העומסים, אתם צריכים למחוק אותו ואת המשאבים שלו. איך מנקים הגדרות של איזון עומסים

המאמרים הבאים