Configurar o gerenciamento do ciclo de vida para cargas de trabalho gerenciadas

Neste documento, mostramos como configurar o gerenciamento do ciclo de vida de certificados para cargas de trabalho gerenciadas, como o Compute Engine e o Google Kubernetes Engine (GKE), usando o Gerenciador de certificados (2ª geração). É possível automatizar a emissão e a renovação de certificados vinculando um pool de identidade da carga de trabalho gerenciada a um pool do Certificate Authority Service usando uma configuração de emissão de certificados. Isso ajuda a evitar interrupções de serviço causadas por certificados expirados.

Antes de começar

  1. Faça login na sua Google Cloud conta do. Se você começou a usar o Google Cloudagora, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US $300 em créditos para executar, testar e implantar cargas de trabalho.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    10.

Funções exigidas

Para receber as permissões necessárias para configurar o gerenciamento do ciclo de vida, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.

Configurar o ciclo de vida para cargas de trabalho gerenciadas

Configure um pool de identidade da carga de trabalho gerenciada para especificar como as cargas de trabalho associadas recebem e renovam certificados do pool do CA Service.

  1. No Google Cloud console, acesse a página Gerenciador de certificados (2ª geração).

    Acessar o Certificate Manager (2ª geração)

  2. No painel de navegação, clique em Gerenciar ciclo de vida.
  3. Selecione a guia Identidade da carga de trabalho gerenciada.
  4. Localize o pool de identidade da carga de trabalho que você quer configurar e clique em Configurar o gerenciamento do ciclo de vida.
  5. Selecione a região e o pool de ACs para a região.
  6. No campo Ciclo de vida do certificado, especifique a validade do certificado emitido. O valor precisa estar entre 21 e 30 dias.
  7. Defina a janela de rotação como um valor entre 50 e 80. Essa é a porcentagem do ciclo de vida do certificado que aciona uma renovação.
  8. No campo Algoritmo de chave, selecione o algoritmo de criptografia a ser usado para gerar a chave privada.
  9. Clique em Atualizar.

A seguir