Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סוגי אישורים לדומיין לאישור שמנוהל על ידי Google

בדף הזה מוסבר איך אישור דומיין פועל עם אישורים שמנוהלים על ידי Google. בדף הזה מוצג השוואה בין הרשאה של איזון עומסים לבין הרשאה של DNS, ומוסבר איך Certificate Manager מאמת בעלות על דומיין באמצעות כל אחת מהשיטות.

Certificate Manager מאפשר לכם להוכיח בעלות על דומיינים שרוצים להנפיק להם אישורים מנוהלים של Google באחת מהדרכים הבאות:

הרשאה של מאזן עומסים: פריסת האישור ישירות למאזן עומסים נתמך בלי ליצור רשומת DNS. השיטה הזו מהירה יותר להגדרה, אבל היא לא תומכת באישורים עם תווים כלליים לחיפוש או באישורים אזוריים. בנוסף, Certificate Manager יכול לספק אישורים רק אחרי שמאזן העומסים הוגדר במלואו והוא משרת תנועת רשת.
הרשאה ל-DNS: פריסת האישור ישירות למאזן עומסים נתמך אחרי יצירת רשומות DNS ייעודיות לאימות הבעלות על הדומיין. באמצעות השיטה הזו, אפשר להקצות אישורים מראש ב-Certificate Manager, לפני ששרת ה-proxy של היעד מוכן לטפל בתנועת הרשת.

הרשאת הדומיין לא חלה על אישורים שמנוהלים על ידי Google ומונפקים על ידי Certificate Authority Service. מידע נוסף על אישורים כאלה זמין במאמר פריסת אישור גלובלי שמנוהל על ידי Google באמצעות Certificate Authority Service.

הרשאה למאזן עומסים

הרשאה למאזן עומסים היא השיטה הכי פשוטה להנפקת אישור שמנוהל על ידי Google. השיטה הזו מצמצמת את השינויים בהגדרת ה-DNS, אבל אישור ה-TLS (SSL) מוקצה רק אחרי שהגדרת מאזן העומסים מסתיימת. בנוסף, שיטת ההרשאה של מאזן העומסים מתאימה במיוחד לסביבות חדשות שאין בהן תנועת ייצור קיימת.

כדי ליצור אישורים שמנוהלים על ידי Google עם הרשאה למאזן עומסים, הפריסה צריכה לעמוד בדרישות הבאות:

צריך לוודא שאפשר לגשת לאישור שמנוהל על ידי Google דרך יציאה 443 מכל כתובות ה-IP שמשרתות את דומיין היעד. אחרת, הקצאת המשאבים תיכשל. לדוגמה, אם יש לכם מאזני עומסים נפרדים ל-IPv4 ול-IPv6, אתם צריכים להקצות לכל אחד מהם את אותו אישור שמנוהל על ידי Google.
צריך לציין באופן מפורש את כתובות ה-IP של מאזני העומסים בהגדרות ה-DNS, כדי למנוע כשלים באימות הדומיין מנקודות מבט שונות. שכבות ביניים, כמו CDN, עלולות לגרום להתנהגות בלתי צפויה.
הדומיין של היעד חייב להיות ניתן לפתרון באופן פתוח מהאינטרנט. סביבות של חומת אש DNS או split-horizon עלולות להפריע להקצאת אישורים.

הרשאה ל-DNS

הרשאת DNS מאפשרת לכם לאמת את הבעלות על הדומיין ולספק אישורים שמנוהלים על ידי Google, עוד לפני שהגדרתם את סביבת הייצור באופן מלא. האפשרות הזו שימושית במיוחד כשמעבירים אישורים אל Google Cloud.

‫Certificate Manager מאמת את הבעלות על הדומיין באמצעות רשומות DNS. כל הרשאת DNS מאחסנת מידע על רשומת DNS, והיא חלה על דומיין יחיד ועל התו הכללי שלו (לדוגמה, גם myorg.example.com וגם *.myorg.example.com). תו כללי חל רק על הרמה הראשונה של תת-הדומיין, ולא על רמות עמוקות יותר של תת-הדומיין. לדוגמה, *.myorg.example.com לא כולל את sub.subdomain.myorg.example.com.

כשיוצרים אישור שמנוהל על ידי Google, אפשר להשתמש בהרשאה אחת או יותר של DNS כדי להקצות ולחדש אישורים. אם יש לכם כמה אישורים לאותו דומיין, אתם יכולים להשתמש באותה הרשאת DNS לכל האישורים. עם זאת, ההרשאות שלכם ב-DNS צריכות לכלול את כל הדומיינים שמופיעים באישור. אם לא, יצירה וחידוש של אישורים ייכשלו.

כדי להגדיר הרשאה באמצעות DNS, צריך להוסיף רשומת CNAME להגדרות ה-DNS. אפשר להשתמש ברשומה הזו כדי לאמת את הסאבדומיין בדומיין היעד. רשומת CNAME מפנה לדומיין מיוחד Google Cloud שמשמש את Certificate Manager לאימות הבעלות על הדומיין. כשיוצרים הרשאה ל-DNS, ‏ Certificate Manager מחזיר את רשומת CNAME הזו ומאמת את הבעלות.

חשוב לזכור שרשומת CNAME מעניקה גם ל-Certificate Manager את ההרשאה להקצות ולחדש אישורים לדומיין היעד בפרויקטGoogle Cloud . כדי לבטל את ההרשאות האלה, צריך להסיר את רשומת ה-CNAME מהגדרות ה-DNS.

הרשאת DNS לכל פרויקט

הרשאת DNS לכל פרויקט מאפשרת לכם לנהל אישורים באופן עצמאי בכל פרויקט Google Cloud . באמצעות הרשאת DNS לכל פרויקט, Certificate Manager יכול להנפיק אישורים ולטפל בהם לכל פרויקט בנפרד. ההרשאות והאישורים של DNS שמשמשים בפרויקט הם עצמאיים ולא מתקשרים עם ארטיפקטים מפרויקטים אחרים.

כדי להפעיל הרשאת DNS לכל פרויקט, בוחרים באפשרות PER_PROJECT_RECORD כשיוצרים הרשאת DNS. לאחר מכן תקבלו רשומה ייחודית CNAME שכוללת גם תת-דומיין וגם יעד שספציפיים לפרויקט הזה. צריך להוסיף את רשומת CNAME לתחום ה-DNS של הדומיין הרלוונטי.

השוואה בין הרשאה של מאזן עומסים לבין הרשאה של DNS

בעזרת Certificate Manager אפשר להוכיח בעלות על דומיינים שרוצים להנפיק להם אישורים שמנוהלים על ידי Google, כמו שמתואר בטבלה הבאה.

	הרשאה למאזן עומסים	הרשאה ל-DNS
מורכבות ההגדרה	אין צורך לבצע שלבי הגדרה נוספים או לשנות את הגדרות ה-DNS כדי להשתמש באימות של איזון העומסים.	כדי להשתמש בשיטה הזו, צריך ליצור הרשאה ל-DNS ולהוסיף את רשומת ה-CNAME המתאימה להגדרת ה-DNS.
אבטחת רשת	צריכה להיות גישה מלאה למאזן העומסים מהאינטרנט ביציאה 443, כולל הגדרת ה-DNS לכל הדומיינים שמוגשים על ידי האישור. ההרשאה של מאזן העומסים לא פועלת עם הגדרות אחרות.	הוא פועל עם הגדרות מורכבות מאוד, כמו יציאות שאינן 443 ושכבות CDN לפני שרת ה-proxy של היעד.
מהירות הקצאת ההרשאות	אפשר להקצות אישורים רק אחרי שמאזן העומסים מוגדר באופן מלא ומשרת תנועת רשת.	אפשר להקצות אישורים מראש, לפני ששרת ה-proxy של היעד מוכן להצגת תנועת רשת.
אישורים עם תו כללי לחיפוש	לא נתמך	נתמך