Lebenszyklusverwaltung für Load Balancer konfigurieren

In diesem Dokument wird beschrieben, wie Sie die Lebenszyklusverwaltung von Zertifikaten für Application Load Balancer mit Zertifikatmanager (2. Generation) konfigurieren.

Es gibt verschiedene Möglichkeiten, die Zertifikate eines Load Balancers zu konfigurieren. Diese hängen von den Eigenschaften des Load Balancers und den zuvor konfigurierten Zertifikatkonfigurationsparametern ab. Die Zertifikatmanager (2. Generation)-Oberfläche erkennt und zeigt die entsprechende Konfigurationsmethode basierend auf den für einen bestimmten Load Balancer verfügbaren Optionen an.

Folgende Optionen sind verfügbar:

1. Globalen Load Balancer mit einem SSL-Zertifikat konfigurieren
2. Regionalen Load Balancer mit einem Netzwerkzertifikat oder einem Compute SSL-Zertifikat konfigurieren
3. Regionalen Load Balancer mit einer Zertifikatszuordnung konfigurieren
4. Globalen Load Balancer mit einem Netzwerkzertifikat konfigurieren

Hinweis

Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch kein Google Cloud-Nutzer sind, erstellen Sie ein Konto, um zu testen, wie sich unsere Produkte in realen Szenarien schlagen. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

1. Achten Sie darauf, dass ein Application Load Balancer mit mindestens einem Ziel-HTTPS-Proxy vorhanden ist. Weitere Informationen finden Sie unter Load-Balancer auswählen.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren der Lebenszyklusverwaltung benötigen:

• Zertifikatmanager-Bearbeiter (roles/certificatemanager.editor)
• Compute-Netzwerkadministrator (roles/compute.networkAdmin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Lebenszyklus für Load Balancer konfigurieren

So konfigurieren Sie die Lebenszyklusverwaltung für Ihr Load Balancer-Zertifikat: Folgen Sie der Anleitung für Ihre spezifische Load Balancer-Konfiguration:

Globaler Load Balancer mit Compute SSL-Zertifikaten

1. Rufen Sie in der Google Cloud Console Zertifikatmanager (2. Generation) auf.

   Zu Zertifikatmanager (2. Generation)

2. Klicken Sie im Navigationsmenü auf Lebenszyklus verwalten.

3. Klicken Sie auf den Tab Load-Balancing. Eine Liste Ihrer Load Balancer wird angezeigt.

4. Suchen Sie den Load Balancer und klicken Sie auf den Umschaltknoten, um die Zeile zu maximieren und die zugehörigen Zielproxys zu sehen.

5. Klicken Sie auf den Namen des Zielproxys.

6. Klicken Sie auf Lebenszyklusverwaltung konfigurieren. Auf der Seite werden die Zertifikate angezeigt, die mit diesem Zielproxy verknüpft sind.

7. Wählen Sie ein Zertifikat aus der Liste der verfügbaren Zertifikate aus. Sie können ein eigenes Zertifikat oder ein von Google verwaltetes Zertifikat verwenden.

8. Klicken Sie auf Zusätzliche Zertifikate und dann auf Zertifikat hinzufügen.

9. Wählen Sie ein Zertifikat aus der Liste der verfügbaren Zertifikate aus. Jede Weiterleitungsregel des Load Balancers kann 1 bis 14 zusätzliche Zertifikate enthalten.

10. Klicken Sie auf Aktualisieren , um die Änderungen auf den Zielproxy anzuwenden. Dadurch wird der zugrunde liegende Zertifikatszuordnungseintrag aktualisiert oder ein neuer Eintrag erstellt.

Regionaler Load Balancer mit Netzwerk- oder SSL-Zertifikaten

1. Rufen Sie in der Google Cloud Console Zertifikatmanager (2. Generation) auf.

   Zu Zertifikatmanager (2. Generation)

2. Klicken Sie im Navigationsmenü auf Lebenszyklus verwalten.

3. Klicken Sie auf den Tab Load-Balancing. Eine Liste Ihrer Load Balancer wird angezeigt.

4. Suchen Sie den Load Balancer und klicken Sie auf den Umschaltknoten, um die Zeile zu maximieren und die zugehörigen Zielproxys zu sehen.

5. Klicken Sie auf den Namen des Zielproxys.

6. Klicken Sie auf Lebenszyklusverwaltung konfigurieren. Auf der Seite werden die Zertifikate angezeigt, die mit der effektiven Zertifikatszuordnung dieses Zielproxys verknüpft sind.

7. Wählen Sie einen Repository-Typ aus: Zertifikate oder Klassische Zertifikate.

8. Klicken Sie auf Zertifikat hinzufügen.

9. Wählen Sie ein vorhandenes Zertifikat aus oder erstellen Sie ein neues Zertifikat.

10. Geben Sie die folgenden Details für das neue Zertifikat ein:

    • Name:Ein eindeutiger Name für diese Zertifikatsressource, z. B. my-lb-cert.
    • Ebene:Wählen Sie die entsprechende Ebene für die Schlüsselverteilung aus, z. B. Default.
    • Zertifikattyp: Selbstverwaltete oder von Google verwaltete Zertifikate.
    • Domainname:Der Domainname, für den dieses Zertifikat gilt, z. B. app.example.com. Sie müssen Inhaber dieser Domain sein.
    • Ausstellungskonfiguration:Wählen Sie in der Liste Ihre vorhandene Ausstellungskonfiguration aus. Diese Konfiguration bestimmt die Zertifizierungsstelle, die Gültigkeitsdauer und den Schlüsseltyp.

11. Klicken Sie auf Erstellen. Die Console fügt das neue Zertifikat der Liste für den Zielproxy hinzu.

12. Prüfen Sie die Liste der Zertifikate und klicken Sie dann auf Aktualisieren, um die Änderungen auf den Zielproxy anzuwenden. Dadurch wird der zugrunde liegende Zertifikatszuordnungseintrag aktualisiert oder ein neuer Eintrag erstellt.

Regionaler Load Balancer mit einer Zertifikatszuordnung

1. Rufen Sie in der Google Cloud Console Zertifikatmanager (2. Generation) auf.

   Zu Zertifikatmanager (2. Generation)

2. Klicken Sie im Navigationsmenü auf Lebenszyklus verwalten.

3. Klicken Sie auf den Tab Load-Balancing. Eine Liste Ihrer Load Balancer wird angezeigt.

4. Suchen Sie den Load Balancer und klicken Sie auf den Umschaltknoten, um die Zeile zu maximieren und die zugehörigen Zielproxys zu sehen.

5. Klicken Sie auf den Namen des Zielproxys.

6. Klicken Sie auf Zertifikatszuordnung aktualisieren. Auf der Seite werden die Details der Zertifikatszuordnung und die Einträge der Zertifikatszuordnung angezeigt.

7. Klicken Sie auf Bearbeiten und dann auf Zuordnungseintrag hinzufügen.

8. Geben Sie die folgenden Details für den neuen Zuordnungseintrag ein:

   • Name:Ein eindeutiger Name für diese Zertifikatsressource, z. B. my-lb-cert.
   • Hostname:Wählen Sie den entsprechenden Hostnamen aus. Bei der Suche nach Zertifikaten wird der Hostname exakt wie angegeben abgeglichen. Bei einstufigen Subdomains umfasst die Suche auch Zertifikate, die für den Platzhalter der übergeordneten Domain ausgestellt wurden. Wenn Sie beispielsweise app.example.com eingeben, werden Zertifikate für app.example.com und *.example.com zurückgegeben.

9. Wählen Sie ein vorhandenes Zertifikat aus oder erstellen Sie ein neues Zertifikat.

10. Klicken Sie auf Hinzufügen. Die Console fügt das neue Zertifikat der Liste für den Zielproxy hinzu.

11. Prüfen Sie die Liste der Zertifikate und klicken Sie dann auf Speichern, um die Änderungen auf den Zielproxy anzuwenden. Dadurch wird der zugrunde liegende Zertifikatszuordnungseintrag aktualisiert oder ein neuer Eintrag erstellt.

Globaler Load Balancer mit einem Netzwerkzertifikat

1. Rufen Sie in der Google Cloud Console Zertifikatmanager (2. Generation) auf.

   Zu Zertifikatmanager (2. Generation)

2. Klicken Sie im Navigationsmenü auf Lebenszyklus verwalten.

3. Klicken Sie auf den Tab Load-Balancing. Eine Liste Ihrer Load Balancer wird angezeigt.

4. Suchen Sie den Load Balancer und klicken Sie auf den Umschaltknoten, um die Zeile zu maximieren und die zugehörigen Zielproxys zu sehen.

5. Klicken Sie auf den Namen des Zielproxys.

6. Klicken Sie auf Lebenszyklusverwaltung konfigurieren. Auf der Seite werden die Zertifikate angezeigt, die mit der effektiven Zertifikatszuordnung dieses Zielproxys verknüpft sind.

7. Klicken Sie auf Zertifikat hinzufügen.

8. Wählen Sie ein vorhandenes Zertifikat aus oder erstellen Sie ein neues Zertifikat.

9. Geben Sie die folgenden Details für das neue Zertifikat ein:

   • Name:Ein eindeutiger Name für diese Zertifikatsressource, z. B. my-lb-cert.
   • Ebene:Wählen Sie die entsprechende Ebene für die Schlüsselverteilung aus, z. B. Default.
   • Zertifikattyp: Selbstverwaltete oder von Google verwaltete Zertifikate.
   • Domainname:Der Domainname, für den dieses Zertifikat gilt, z. B. app.example.com. Sie müssen Inhaber dieser Domain sein.
   • Ausstellungskonfiguration:Wählen Sie in der Liste Ihre vorhandene Ausstellungskonfiguration aus. Diese Konfiguration bestimmt die Zertifizierungsstelle, die Gültigkeitsdauer und den Schlüsseltyp.

10. Klicken Sie auf Erstellen. Die Console fügt das neue Zertifikat der Liste für den Zielproxy hinzu.

11. Prüfen Sie die Liste der Zertifikate und klicken Sie dann auf Aktualisieren, um die Änderungen auf den Zielproxy anzuwenden. Dadurch wird der zugrunde liegende Zertifikatszuordnungseintrag aktualisiert oder ein neuer Eintrag erstellt.

Nächste Schritte

• Funktionsweise von Zertifikatmanager (2. Generation)
• Lebenszyklusverwaltung für verwaltete Arbeitslasten konfigurieren
• Vertrauenskonfiguration erstellen
• Zertifikatsinventar ansehen
• Zertifikate überwachen