Configura la gestione del ciclo di vita per i bilanciatori del carico

Questo documento mostra come configurare la gestione del ciclo di vita dei certificati per i bilanciatori del carico delle applicazioni utilizzando Certificate Manager (2ª generazione.).

Esistono diversi modi per configurare i certificati di un bilanciatore del carico a seconda delle proprietà del bilanciatore del carico e dei parametri di configurazione del certificato configurati in precedenza. L'interfaccia di Certificate Manager (2ª generazione.) rileva e mostra il metodo di configurazione appropriato in base a ciò che è disponibile per un determinato bilanciatore del carico.

Sono disponibili le seguenti opzioni:

  1. Configura un bilanciatore del carico globale con un certificato SSL.
  2. Configura un bilanciatore del carico regionale con un certificato di rete o un certificato SSL di Compute.
  3. Configura un bilanciatore del carico regionale con una mappa dei certificati.
  4. Configura un bilanciatore del carico globale con un certificato di rete.

Prima di iniziare

  1. Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    10.
  10. Assicurati di disporre di un bilanciatore del carico delle applicazioni esistente con almeno un proxy HTTPS di destinazione. Per ulteriori informazioni, vedi Scegliere un bilanciatore del carico.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per configurare la gestione del ciclo di vita, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Configura il ciclo di vita per i bilanciatori del carico

Per configurare la gestione del ciclo di vita per il certificato del bilanciatore del carico, segui i passaggi per la configurazione specifica del bilanciatore del carico:

Bilanciatore del carico globale con certificati SSL di Compute

  1. Nella console Google Cloud , vai a Certificate Manager (2ª generazione.).

    Vai a Certificate Manager (2ª generazione.)

  2. Nel menu di navigazione, fai clic su Gestisci ciclo di vita.

  3. Fai clic sulla scheda Bilanciamento del carico. Viene visualizzato un elenco dei tuoi bilanciatori del carico.

  4. Individua il bilanciatore del carico e fai clic sul nodo di attivazione/disattivazione per espandere la riga e visualizzare i proxy di destinazione associati.

  5. Fai clic sul nome del proxy di destinazione.

  6. Fai clic su Configura gestione del ciclo di vita. La pagina mostra i certificati associati a questo proxy di destinazione.

  7. Seleziona un certificato dall'elenco disponibile. Puoi utilizzare il tuo certificato o un certificato gestito da Google.

  8. Fai clic su Certificati aggiuntivi e poi su Aggiungi un certificato.

  9. Seleziona un certificato dall'elenco disponibile. Ogni regola di forwarding del bilanciatore del carico può avere da 1 a 14 certificati aggiuntivi.

  10. Fai clic su Aggiorna per applicare le modifiche al proxy di destinazione. Questa azione aggiorna la voce della mappa dei certificati sottostante o ne crea una nuova.

Bilanciatore del carico regionale con certificati di rete o SSL

  1. Nella console Google Cloud , vai a Certificate Manager (2ª generazione.).

    Vai a Certificate Manager (2ª generazione.)

  2. Nel menu di navigazione, fai clic su Gestisci ciclo di vita.

  3. Fai clic sulla scheda Bilanciamento del carico. Viene visualizzato un elenco dei tuoi bilanciatori del carico.

  4. Individua il bilanciatore del carico e fai clic sul nodo di attivazione/disattivazione per espandere la riga e visualizzare i proxy di destinazione associati.

  5. Fai clic sul nome del proxy di destinazione.

  6. Fai clic su Configura gestione del ciclo di vita. La pagina mostra i certificati associati alla mappa dei certificati effettiva di questo proxy di destinazione.

  7. Seleziona un tipo di repository: Certificati o Certificati classici.

  8. Fai clic su Aggiungi un certificato.

  9. Seleziona un certificato esistente o creane uno nuovo.

  10. Inserisci i seguenti dettagli per il nuovo certificato:

    • Nome:un nome univoco per questa risorsa certificato (ad esempio, my-lb-cert).
    • Ambito:seleziona l'ambito di distribuzione delle chiavi appropriato (ad esempio, Default).
    • Tipo di certificato:autogestito o gestito da Google tipi di certificati.
    • Nome di dominio:il nome di dominio che verrà coperto da questo certificato (ad esempio, app.example.com). Questo dominio deve essere controllato da te.
    • Configurazione dell'emissione: seleziona la configurazione dell'emissione esistente dall'elenco. Questa configurazione determina la CA, la durata e il tipo di chiave.

  11. Fai clic su Crea. La console aggiunge il nuovo certificato all'elenco per il proxy di destinazione.

  12. Esamina l'elenco dei certificati, quindi fai clic su Aggiorna per applicare le modifiche al proxy di destinazione. Questa azione aggiorna la voce della mappa dei certificati sottostante o ne crea una nuova.

Bilanciatore del carico regionale con una mappa dei certificati

  1. Nella console Google Cloud , vai a Certificate Manager (2ª generazione.).

    Vai a Certificate Manager (2ª generazione.)

  2. Nel menu di navigazione, fai clic su Gestisci ciclo di vita.

  3. Fai clic sulla scheda Bilanciamento del carico. Viene visualizzato un elenco dei tuoi bilanciatori del carico.

  4. Individua il bilanciatore del carico e fai clic sul nodo di attivazione/disattivazione per espandere la riga e visualizzare i proxy di destinazione associati.

  5. Fai clic sul nome del proxy di destinazione.

  6. Fai clic su Aggiorna mappa dei certificati. La pagina mostra i dettagli della mappa dei certificati e le voci della mappa dei certificati.

  7. Fai clic su Modifica e poi su Aggiungi voce della mappa.

  8. Inserisci i seguenti dettagli per la nuova voce della mappa:

    • Nome:un nome univoco per questa risorsa certificato (ad esempio, my-lb-cert).
    • Nome host:seleziona il nome host appropriato. Le ricerche di certificati corrispondono esattamente al nome host fornito. Per i sottodomini a livello singolo, la ricerca include anche i certificati rilasciati per il carattere jolly del dominio principale. Ad esempio, se inserisci app.example.com, vengono restituiti i certificati per app.example.com e *.example.com.

  9. Seleziona un certificato esistente o creane uno nuovo.

  10. Fai clic su Aggiungi. La console aggiunge il nuovo certificato all'elenco per il proxy di destinazione.

  11. Controlla l'elenco dei certificati, quindi fai clic su Salva per applicare le modifiche al proxy di destinazione. Questa azione aggiorna la voce della mappa dei certificati sottostante o ne crea una nuova.

Bilanciatore del carico globale con un certificato di rete

  1. Nella console Google Cloud , vai a Certificate Manager (2ª generazione.).

    Vai a Certificate Manager (2ª generazione.)

  2. Nel menu di navigazione, fai clic su Gestisci ciclo di vita.

  3. Fai clic sulla scheda Bilanciamento del carico. Viene visualizzato un elenco dei tuoi bilanciatori del carico.

  4. Individua il bilanciatore del carico e fai clic sul nodo di attivazione/disattivazione per espandere la riga e visualizzare i proxy di destinazione associati.

  5. Fai clic sul nome del proxy di destinazione.

  6. Fai clic su Configura gestione del ciclo di vita. La pagina mostra i certificati associati alla mappa dei certificati effettiva di questo proxy di destinazione.

  7. Fai clic su Aggiungi un certificato.

  8. Seleziona un certificato esistente o creane uno nuovo.

  9. Inserisci i seguenti dettagli per il nuovo certificato:

    • Nome:un nome univoco per questa risorsa certificato (ad esempio, my-lb-cert).
    • Ambito:seleziona l'ambito di distribuzione delle chiavi appropriato (ad esempio, Default).
    • Tipo di certificato:autogestito o gestito da Google tipi di certificati.
    • Nome di dominio:il nome di dominio che verrà coperto da questo certificato (ad esempio, app.example.com). Questo dominio deve essere controllato da te.
    • Configurazione dell'emissione: seleziona la configurazione dell'emissione esistente dall'elenco. Questa configurazione determina la CA, la durata e il tipo di chiave.

  10. Fai clic su Crea. La console aggiunge il nuovo certificato all'elenco per il proxy di destinazione.

  11. Esamina l'elenco dei certificati, quindi fai clic su Aggiorna per applicare le modifiche al proxy di destinazione. Questa azione aggiorna la voce della mappa dei certificati sottostante o ne crea una nuova.

Passaggi successivi