このページでは、Certificate Manager を使用して アプリケーション ロードバランサとプロキシ ネットワーク ロードバランサに Google マネージド証明書とセルフマネージド証明書を プロビジョニングする方法の概要について説明します。
このページを読む前に、Cloud Load Balancing ドキュメントのSSL 証明書 の概要を理解しておいてください。
Certificate Manager の構成方法
Certificate Manager には、ターゲット HTTPS プロキシを使用するアプリケーション ロードバランサと、ターゲット SSL プロキシを使用するプロキシ ネットワーク ロードバランサの証明書構成方法が 2 つあります。これらは、Cloud Load Balancing で使用できる 3 つの証明書 構成方法のうちの 2 つです。Certificate Manager と Cloud Load Balancing の詳細については、 ロード バランシング ドキュメントの 証明書の構成 方法をご覧ください。
ロードバランサのターゲット プロキシが Certificate Manager 証明書マップを参照する: ロードバランサのターゲット プロキシは 1 つの 証明書マップを参照します。証明書マップ はデフォルトで数千のエントリをサポートし、数百万の エントリにスケーリングできます。この方法は、Google Front End(GFE)を搭載した外部アプリケーション ロードバランサと外部プロキシ ネットワーク ロードバランサで 使用されます。
- グローバル外部アプリケーション ロードバランサ
- 従来のアプリケーション ロードバランサ
- グローバル外部プロキシ ネットワーク ロードバランサ
- 従来のプロキシ ネットワーク ロードバランサ
ロードバランサのターゲット プロキシが Certificate Manager 証明書を直接参照する: ロードバランサのターゲット プロキシは、最大 100 個のCertificate Manager 証明書を参照できます。この方法は、マネージド オープンソース Envoy プロキシ ソフトウェアを搭載した次のアプリケーション ロードバランサで使用されます。
- リージョン外部アプリケーション ロードバランサ
- リージョン内部アプリケーション ロードバランサ
- クロスリージョン内部アプリケーション ロードバランサ
Certificate Manager は、構成の一部として Certificate Manager 証明書を参照する次のプロダクトもサポートしています。
Secure Web Proxy ゲートウェイが Certificate Manager 証明書を参照する: Secure Web Proxy ゲートウェイを構成する前に、ゲートウェイで使用する Certificate Manager 証明書を 1 つ以上作成します。詳細については、SSL 証明書をデプロイすると Secure Web Proxy インスタンスをデプロイするをご覧ください。
Media CDN エッジ キャッシュ サービスが Certificate Manager 証明書を参照する: Media CDN エッジ キャッシュ サービスは、最大 5 つの Certificate Manager 証明書をサポートします。詳細については、SSL(TLS) 証明書と SSL(TLS) 証明書を構成するをご覧ください。
証明書のタイプ
Certificate Manager は、Google マネージド証明書と セルフマネージド証明書の両方をサポートしています。ターゲット HTTPS プロキシを使用するすべてのアプリケーション ロードバランサと、ターゲット SSL プロキシをサポートするすべてのプロキシ ネットワーク ロードバランサは、Google マネージドまたはセルフマネージドの Certificate Manager 証明書を使用できます。
Google マネージド Certificate Manager 証明書: が取得して管理する証明書。 Google Cloud ロードバランサとその Certificate Manager 構成 方法に応じて、Google マネージド Certificate Manager 証明書は、ロードバランサ認証、DNS 認証、または Certificate Authority Service(CA Service)を使用してプロビジョニングできます。
セルフマネージド Certificate Manager 証明書: ご自分で取得、プロビジョニング、更新する証明書。
サービスに関するサポート
次の表に、プロダクト別の Google マネージド証明書とセルフマネージド 証明書のサポート状況をまとめます。
| プロダクト | Google マネージド証明書 | セルフマネージド証明書 | ||
|---|---|---|---|---|
| ロードバランサ認証 | DNS 認証 | Certificate Authority Service(CA Service) | ||
グローバル外部アプリケーション ロードバランサとプロキシ ネットワーク ロードバランサ
|
導入ガイド |
導入ガイド |
導入 ガイド |
導入ガイド |
リージョン外部アプリケーション ロードバランサと内部アプリケーション ロードバランサ:
|
導入ガイド |
導入ガイド |
導入ガイド |
|
| クロスリージョン内部アプリケーション ロードバランサ | 導入ガイド |
導入ガイド |
導入ガイド |
|
| Secure Web Proxy ゲートウェイ | 導入ガイド |
導入ガイド |
導入ガイド |
|
| Media CDN エッジ キャッシュ サービス | ||||
次のステップ
- 既存の証明書をロードバランサから Certificate Manager に移行する場合は、証明書を Certificate Manager に移行するの手順に沿って操作してください。
- Certificate Manager と GFE ベースの ロードバランサの詳細については、Certificate Manager の 仕組みをご覧ください。
- 相互 TLS 認証(mTLS)を使用する場合は、 Cloud Load Balancing ドキュメントの相互 TLS 認証をご覧ください。