Cette page explique comment utiliser Certificate Manager pour provisionner des certificats gérés par Google et autogérés pour les équilibreurs de charge d'application et les équilibreurs de charge réseau proxy.
Avant de lire cette page, assurez-vous de bien connaître la présentation des certificats SSL dans la documentation Cloud Load Balancing.
Méthodes de configuration du gestionnaire de certificats
Le gestionnaire de certificats propose deux méthodes de configuration des certificats pour les équilibreurs de charge d'application utilisant des proxys HTTPS cibles et les équilibreurs de charge réseau utilisant des proxys SSL cibles. Il s'agit de deux des trois méthodes de configuration de certificat possibles pour Cloud Load Balancing. Pour en savoir plus sur Certificate Manager et Cloud Load Balancing, consultez Méthodes de configuration des certificats dans la documentation sur l'équilibrage de charge.
Le proxy cible de l'équilibreur de charge référence un mappage de certificats Certificate Manager : le proxy cible de l'équilibreur de charge référence un seul mappage de certificats. Le mappage de certificat accepte des milliers d'entrées par défaut et peut être étendu à des millions d'entrées. Cette méthode est utilisée par les équilibreurs de charge d'application externes et les équilibreurs de charge réseau proxy externes qui sont optimisés par les Google Front Ends (GFE) :
- Équilibreurs de charge d'application externes globaux
- Équilibreurs de charge d'application classiques
- Équilibreurs de charge réseau proxy externes mondiaux
- Équilibreurs de charge réseau proxy classiques
Le proxy cible de l'équilibreur de charge référence directement les certificats du gestionnaire de certificats : le proxy cible de l'équilibreur de charge peut référencer jusqu'à 100 certificats du gestionnaire de certificats. Cette méthode est utilisée par les équilibreurs de charge d'application suivants, qui sont optimisés par le logiciel proxy Envoy Open Source géré :
- Équilibreurs de charge d'application externes régionaux
- Équilibreurs de charge d'application internes régionaux
- Équilibreurs de charge d'application internes interrégionaux
Le gestionnaire de certificats est également compatible avec les produits suivants, qui font référence aux certificats du gestionnaire de certificats dans leur configuration :
La passerelle Secure Web Proxy référence les certificats du gestionnaire de certificats : avant de pouvoir configurer une passerelle Secure Web Proxy, vous devez créer un ou plusieurs certificats du gestionnaire de certificats que la passerelle pourra utiliser. Pour en savoir plus, consultez Déployer un certificat SSL et Déployer une instance Secure Web Proxy.
Les services de cache périphérique Media CDN font référence aux certificats Certificate Manager : un service de cache périphérique Media CDN est compatible avec un maximum de cinq certificats Certificate Manager. Pour en savoir plus, consultez Certificats SSL (TLS) et Configurer des certificats SSL (TLS).
Types de certificat
Le gestionnaire de certificats est compatible avec les certificats gérés par Google et les certificats autogérés. Tous les équilibreurs de charge d'application utilisant des proxys HTTPS cibles et tous les équilibreurs de charge réseau proxy compatibles avec les proxys SSL cibles peuvent utiliser des certificats Certificate Manager gérés par Google ou autogérés.
Certificats Certificate Manager gérés par Google : certificats que Google Cloud obtient et gère pour vous. Selon l'équilibreur de charge et sa méthode de configuration du gestionnaire de certificats, les certificats du gestionnaire de certificats gérés par Google peuvent être provisionnés à l'aide de l'autorisation de l'équilibreur de charge, de l'autorisation DNS ou du Certificate Authority Service (CA Service).
Certificats Certificate Manager autogérés : certificats que vous obtenez, provisionnez et renouvelez vous-même.
Assistance produit
Le tableau suivant récapitule la compatibilité des certificats du gestionnaire de certificats gérés par Google et autogérés par produit.
| Produit | Certificats gérés par Google | Certificats autogérés | ||
|---|---|---|---|---|
| Autorisation d'équilibreur de charge | Autorisation DNS | Certificate Authority Service (service d'autorité de certification) | ||
Équilibreurs de charge d'application externes et équilibreurs de charge réseau proxy externes mondiaux
|
Guide de déploiement |
Guide de déploiement |
Guide de déploiement |
Guide de déploiement |
Équilibreurs de charge d'application externes et internes régionaux :
|
Guide de déploiement |
Guide de déploiement |
Guide de déploiement |
|
| Équilibreurs de charge d'application internes interrégionaux | Guide de déploiement |
Guide de déploiement |
Guide de déploiement |
|
| Passerelles Secure Web Proxy | Guide de déploiement |
Guide de déploiement |
Guide de déploiement |
|
| Services de cache périphérique Media CDN | ||||
Étapes suivantes
- Si vous souhaitez migrer un certificat existant de votre équilibreur de charge vers le gestionnaire de certificats, suivez les instructions de la section Migrer un certificat vers le gestionnaire de certificats.
- Pour en savoir plus sur le gestionnaire de certificats et les équilibreurs de charge basés sur GFE, consultez Fonctionnement du gestionnaire de certificats.
- Si vous souhaitez utiliser l'authentification TLS mutuelle (mTLS), consultez la section Authentification TLS mutuelle de la documentation Cloud Load Balancing.