Per proteggere la comunicazione per i bilanciatori del carico delle applicazioni esterni regionali o i bilanciatori del carico delle applicazioni interni regionali, utilizza Certificate Manager per eseguire il deployment di un certificato autogestito. Questo approccio ti aiuta a utilizzare i tuoi certificati attendibili per le tue applicazioni. Questo tutorial mostra come eseguire il deployment di certificati autogestiti specificamente per i bilanciatori del carico regionali.
Prima di iniziare, assicurati di aver creato un bilanciatore del carico delle applicazioni esterno regionale o un bilanciatore del carico delle applicazioni interno regionale.
Per i deployment esterni globali o tra regioni, consulta le seguenti risorse:
Obiettivi
Questo tutorial mostra come completare le seguenti attività:
- Carica un certificato autogestito in Certificate Manager.
- Esegui il deployment del certificato in un bilanciatore del carico delle applicazioni esterno regionale o in un bilanciatore del carico delle applicazioni interno regionale utilizzando un proxy HTTPS di destinazione.
Prima di iniziare
- Accedi al tuo Google Cloud account. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Compute Engine, Certificate Manager APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
Installa Google Cloud CLI.
-
Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.
-
Per inizializzare gcloud CLI, esegui questo comando:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Compute Engine, Certificate Manager APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
Installa Google Cloud CLI.
-
Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.
-
Per inizializzare gcloud CLI, esegui questo comando:
gcloud init
Ruoli obbligatori
Assicurati di disporre dei seguenti ruoli per completare le attività descritte in questo tutorial:
Certificate Manager Owner (
roles/certificatemanager.owner)Obbligatorio per creare e gestire le risorse di Certificate Manager.
Compute Load Balancer Admin (
roles/compute.loadBalancerAdmin) o Compute Network Admin (roles/compute.networkAdmin)Obbligatorio per creare e gestire il proxy di destinazione HTTPS.
Per ulteriori informazioni, consulta le seguenti risorse:
- Ruoli e autorizzazioni per Certificate Manager.
- Ruoli e autorizzazioni IAM di Compute Engine per Compute Engine.
Crea il bilanciatore del carico
Questo tutorial presuppone che tu abbia già creato e configurato i backend, i controlli di integrità, i servizi di backend e le mappe URL del bilanciatore del carico. Prendi nota del nome della mappa URL perché ti servirà più avanti in questo tutorial.
Per creare un bilanciatore del carico delle applicazioni esterno regionale, consulta Configura un bilanciatore del carico delle applicazioni esterno regionale con backend di gruppi di istanze VM.
Per creare un bilanciatore del carico delle applicazioni interno regionale, consulta Configura un bilanciatore del carico delle applicazioni interno regionale con backend di gruppi di istanze VM.
Crea una chiave privata e un certificato
Per creare una chiave privata e un certificato:
Utilizza un'autorità di certificazione (CA) di terze parti attendibile per emettere il certificato insieme alla chiave associata.
Verifica che il certificato sia concatenato correttamente e che la radice sia attendibile.
Prepara i seguenti file con codifica PEM:
- Il file del certificato (CRT)
- Il file della chiave privata corrispondente (KEY)
Per informazioni su come richiedere e convalidare un certificato, consulta Crea una chiave privata e un certificato.
Carica un certificato autogestito in Certificate Manager
Per caricare il certificato in Certificate Manager:
Console
Nella Google Cloud console, vai alla pagina Certificate Manager.
Nella scheda Certificati, fai clic su Aggiungi certificato.
Nel campo Nome certificato, inserisci un nome univoco per il certificato.
(Facoltativo) Nel campo Descrizione, inserisci una descrizione per il certificato. La descrizione ti consente di identificare il certificato.
Per Località, seleziona A livello di regione.
Nell'elenco Regione, seleziona la tua regione.
Per Tipo di certificato, seleziona Crea certificato autogestito.
Per il campo Certificato, esegui una delle seguenti operazioni:
- Fai clic sul pulsante Carica e seleziona il file del certificato in formato PEM.
- Copia e incolla i contenuti di un certificato in formato PEM. I contenuti devono iniziare con
-----BEGIN CERTIFICATE-----e terminare con-----END CERTIFICATE-----.
Per il campo Certificato della chiave privata, esegui una delle seguenti operazioni:
- Fai clic sul pulsante Carica e seleziona la chiave privata. La chiave privata deve essere in formato PEM e non protetta da una passphrase.
- Copia e incolla i contenuti di una chiave privata in formato PEM. Le chiavi private devono iniziare con
-----BEGIN PRIVATE KEY-----e terminare con-----END PRIVATE KEY-----.
Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.
Fai clic su Crea.
Il nuovo certificato viene visualizzato nell'elenco dei certificati.
gcloud
Per creare un certificato autogestito regionale, esegui il
certificate-manager certificates create comando:
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--certificate-file="CERTIFICATE_FILE" \
--private-key-file="PRIVATE_KEY_FILE" \
--location="LOCATION"
Sostituisci quanto segue:
CERTIFICATE_NAME: il nome del certificato.CERTIFICATE_FILE: il percorso e il nome file del file del certificato CRT.PRIVATE_KEY_FILE: il percorso e il nome file del file della chiave privata KEY.LOCATION: la località di destinazione Google Cloud .
Terraform
Per caricare un certificato autogestito, puoi utilizzare una
google_certificate_manager_certificate risorsa con il self_managed blocco.
API
Carica il certificato inviando una richiesta POST al metodo certificates.create come segue:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
self_managed: {
pem_certificate: "PEM_CERTIFICATE",
pem_private_key: "PEM_KEY",
}
}
Sostituisci quanto segue:
PROJECT_ID: l'ID del tuo Google Cloud progetto.CERTIFICATE_NAME: il nome del certificato.PEM_CERTIFICATE: il certificato PEM.PEM_KEY: la chiave PEM.LOCATION: la località di destinazione Google Cloud .
Esegui il deployment del certificato autogestito in un bilanciatore del carico
Per eseguire il deployment del certificato autogestito, allegalo direttamente al proxy di destinazione.
Allega il certificato direttamente al proxy di destinazione
Puoi allegare il certificato a un nuovo proxy di destinazione o a uno esistente.
Per allegare il certificato a un nuovo proxy di destinazione, utilizza il gcloud compute
target-https-proxies create
comando:
gcloud compute target-https-proxies create PROXY_NAME \
--certificate-manager-certificates=CERTIFICATE_NAME \
--url-map=URL_MAP \
--region=LOCATION
Sostituisci quanto segue:
PROXY_NAME: il nome del proxy di destinazione.CERTIFICATE_NAME: il nome del certificato.URL_MAP: il nome della mappa URL. Hai creato la mappa URL quando hai creato il bilanciatore del carico.LOCATION: la località di destinazione in cui vuoi creare il proxy di destinazione HTTPS. Google Cloud
Per allegare il certificato a un proxy HTTPS di destinazione esistente, utilizza il gcloud
compute target-https-proxies update
comando. Se non conosci il nome del proxy di destinazione esistente, vai alla pagina Proxy
di destinazione
e prendi nota del nome del proxy di destinazione.
gcloud compute target-https-proxies update PROXY_NAME \
--region=LOCATION \
--certificate-manager-certificates=CERTIFICATE_NAME
Dopo aver creato o aggiornato il proxy di destinazione, esegui il comando seguente per verificarlo:
gcloud compute target-https-proxies list
Esegui la pulizia
Per evitare che al tuo Google Cloud account vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il certificato caricato:
gcloud certificate-manager certificates delete CERTIFICATE_NAME
Sostituisci CERTIFICATE_NAME con il nome del certificato di destinazione.
Se non prevedi di utilizzare il bilanciatore del carico, eliminalo insieme alle relative risorse. Consulta Esegui la pulizia di una configurazione di bilanciamento del carico setup.