このページでは、Certificate Manager を使用して、アプリケーション ロードバランサとプロキシ ネットワーク ロードバランサに Google マネージド証明書とセルフマネージド証明書をプロビジョニングする方法の概要について説明します。
このページを読む前に、Cloud Load Balancing のドキュメントの SSL 証明書の概要を理解しておいてください。
Certificate Manager の構成方法
Certificate Manager には、ターゲット HTTPS プロキシを使用するアプリケーション ロードバランサと、ターゲット SSL プロキシを使用するプロキシ ネットワーク ロードバランサの 2 つの証明書構成方法があります。これは、Cloud Load Balancing で使用できる 3 つの証明書構成方法のうちの 2 つです。Certificate Manager と Cloud Load Balancing の詳細については、ロード バランシングのドキュメントの証明書の構成方法をご覧ください。
ロードバランサのターゲット プロキシが Certificate Manager 証明書マップを参照する: ロードバランサのターゲット プロキシは、単一の証明書マップを参照します。証明書マップはデフォルトで数千のエントリをサポートし、数百万のエントリにスケーリングできます。この方法は、Google Front End(GFE)を利用する外部アプリケーション ロードバランサと外部プロキシ ネットワーク ロードバランサで使用されます。
- グローバル外部アプリケーション ロードバランサ
- 従来のアプリケーション ロードバランサ
- グローバル外部プロキシ ネットワーク ロードバランサ
- 従来のプロキシ ネットワーク ロードバランサ
ロードバランサのターゲット プロキシが Certificate Manager 証明書を直接参照する: ロードバランサのターゲット プロキシは、最大 100 個の Certificate Manager 証明書を参照できます。この方法は、マネージド オープンソース Envoy プロキシ ソフトウェアを搭載した次のアプリケーション ロードバランサで使用されます。
- リージョン外部アプリケーション ロードバランサ
- リージョン内部アプリケーション ロードバランサ
- クロスリージョン内部アプリケーション ロードバランサ
Certificate Manager は、構成の一部として Certificate Manager 証明書を参照する次のプロダクトもサポートしています。
Secure Web Proxy ゲートウェイが Certificate Manager 証明書を参照する: Secure Web Proxy ゲートウェイを構成する前に、ゲートウェイが使用する Certificate Manager 証明書を 1 つ以上作成します。詳細については、SSL 証明書をデプロイすると Secure Web Proxy インスタンスをデプロイするをご覧ください。
Media CDN エッジ キャッシュ サービスが Certificate Manager 証明書を参照する: Media CDN エッジ キャッシュ サービスは、最大 5 つの Certificate Manager 証明書をサポートしています。詳細については、SSL(TLS)証明書と SSL(TLS)証明書を構成するをご覧ください。
証明書のタイプ
Certificate Manager は、Google マネージド証明書とセルフマネージド証明書の両方をサポートしています。ターゲット HTTPS プロキシを使用するすべてのアプリケーション ロードバランサと、ターゲット SSL プロキシをサポートするすべてのプロキシ ネットワーク ロードバランサは、Google マネージドまたはセルフマネージドの Certificate Manager 証明書を使用できます。
Google マネージド Certificate Manager 証明書: Google がお客様に代わり取得して管理する証明書。 Google Cloud ロードバランサとその Certificate Manager 構成方法に応じて、Google マネージド Certificate Manager 証明書は、ロードバランサの承認、DNS 認証、または Certificate Authority Service(CA Service)を使用してプロビジョニングできます。
セルフマネージド Certificate Manager 証明書: ご自分で取得、プロビジョニング、更新する証明書。
サービスに関するサポート
次の表に、Google マネージド証明書とセルフマネージド Certificate Manager 証明書のサポートをプロダクト別に示します。
| プロダクト | Google マネージド証明書 | セルフマネージド証明書 | ||
|---|---|---|---|---|
| ロードバランサ認証 | DNS 認証 | Certificate Authority Service(CA Service) | ||
グローバル外部アプリケーション ロードバランサとプロキシ ネットワーク ロードバランサ
|
デプロイガイド |
デプロイガイド |
デプロイガイド |
デプロイガイド |
リージョン外部アプリケーション ロードバランサと内部アプリケーション ロードバランサ:
|
デプロイガイド |
デプロイガイド |
デプロイガイド |
|
| クロスリージョン内部アプリケーション ロードバランサ | デプロイガイド |
デプロイガイド |
デプロイガイド |
|
| Secure Web Proxy ゲートウェイ | デプロイガイド |
デプロイガイド |
デプロイガイド |
|
| Media CDN エッジ キャッシュ サービス | ||||
次のステップ
- 既存の証明書をロードバランサから Certificate Manager に移行する場合は、証明書を Certificate Manager に移行するの手順に沿って操作します。
- Certificate Manager と GFE ベースのロードバランサの詳細については、Certificate Manager の仕組みをご覧ください。
- 相互 TLS 認証(mTLS)を使用する場合は、Cloud Load Balancing ドキュメントの相互 TLS 認証をご覧ください。