Lebenszyklusverwaltung für verwaltete Arbeitslasten konfigurieren

In diesem Dokument wird beschrieben, wie Sie die Zertifikatsverwaltung für verwaltete Arbeitslasten wie Compute Engine und Google Kubernetes Engine (GKE) mit Zertifikatmanager (2. Generation) konfigurieren. Sie können die Zertifikatsausstellung und -erneuerung automatisieren, indem Sie einen verwalteten Workload Identity-Pool über eine Konfiguration für die Zertifikatsausstellung mit einem Certificate Authority Service-Pool verknüpfen. So lassen sich Dienstausfälle aufgrund abgelaufener Zertifikate vermeiden.

Hinweis

  1. Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    10.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, damit Sie die nötigen Berechtigungen für die Konfiguration der Lebenszyklusverwaltung haben:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Lebenszyklus für verwaltete Arbeitslasten konfigurieren

Konfigurieren Sie einen verwalteten Workload Identity-Pool, um festzulegen, wie zugehörige Arbeitslasten Zertifikate von Ihrem vorhandenen CA Service-Pool erhalten und erneuern.

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager (2. Generation) auf.

    Zum Zertifikatmanager (2. Generation)

  2. Klicken Sie im Navigationsbereich auf Lebenszyklus verwalten.
  3. Wählen Sie den Tab Verwaltete Workload Identity aus.
  4. Suchen Sie den Workload Identity-Pool, den Sie konfigurieren möchten, und klicken Sie dann auf Lebenszyklusverwaltung konfigurieren.
  5. Wählen Sie die Region und den CA-Pool für die Region aus.
  6. Geben Sie im Feld Gültigkeitsdauer des Zertifikats die Gültigkeit des ausgestellten Zertifikats an. Der Wert muss zwischen 21 und 30 Tagen liegen.
  7. Legen Sie für Rotationszeitraum einen Wert zwischen 50 und 80 fest. Dies ist der Prozentsatz der Zertifikatslebensdauer, bei dem eine Verlängerung ausgelöst wird.
  8. Wählen Sie im Feld Schlüsselalgorithmus den Verschlüsselungsalgorithmus aus, der zum Generieren des privaten Schlüssels verwendet werden soll.
  9. Klicken Sie auf Aktualisieren.

Nächste Schritte