Certificate Manager (דור שני) הוא שירות שמאפשר לכם לרכז את הניהול, הפריסה והאוטומציה של אישורי SSL או TLS בארגון. Google Cloud באמצעות Certificate Manager (דור שני), אתם יכולים לנהל אישורים עבור מגוון Google Cloud שירותים, עומסי עבודה בהתאמה אישית וסביבות מקומיות דרך ממשק מרכזי יחיד.
Certificate Manager תומך בעיקר במאזני עומסים, בעוד ש-Certificate Manager (דור שני) תומך גם בעומסי עבודה של Google Kubernetes Engine (GKE), במכונות וירטואליות של Compute Engine ובסביבות היברידיות.Google Cloud
כדי להבין את ההבדלים בין הדור הראשון והדור השני של Certificate Manager, אפשר לעיין במאמר השוואה בין גרסאות של Certificate Manager.
תכונות של Certificate Manager (דור שני)
באמצעות Certificate Manager (דור שני) אפשר:
מעקב אחרי אישורים: בדף סקירה כללית במסוףGoogle Cloud אפשר לעקוב אחרי תקינות האישורים, כולל אישורים פעילים לכל אחד מהשירותים, אישורים שעומדים לפוג ופיזור של אלגוריתמים קריפטוגרפיים. מידע נוסף זמין במאמר בנושא מעקב אחרי אישורים.
חיפוש וגילוי אישורים: בדף Certificates במסוף Google Cloud אפשר לראות את כל האישורים, כולל אלה שלא הונפקו ישירות על ידי Certificate Manager. אפשר לסנן לפי סוג המשאב, סטטוס התפוגה וסטטוס הניהול. מידע נוסף זמין במאמר בנושא צפייה בספריית האישורים.
אוטומציה של מחזור החיים של אישורים: שליטה ביצירה וברוטציה של אישורים ב Google Cloud משאבים כמו מאזני עומסים וGoogle Cloud עומסי עבודה, על ידי הגדרת מדיניות באמצעות הגדרות הנפקה. אפשר לציין את ההגדרות הבאות לרוטציה בניהול אוטומטי:
- תוקף האישור
- אלגוריתם המפתח
- חלון סיבוב
מידע נוסף זמין במאמרים יצירת הגדרות הנפקה, הגדרת ניהול מחזור חיים למאזני עומסים והגדרת ניהול מחזור חיים לעומסי עבודה מנוהלים.
תקשורת מאובטחת בין עומסי עבודה: הגדרה והפצה של נקודות אמון, כמו אישורי CA בסיסיים ואישורי ביניים, כדי להבטיח שעומסי העבודה יסמכו רק על אישורים מורשים. מידע נוסף מופיע במאמר יצירת הגדרות של הרשאות שיתוף.
שירותים נתמכים Google Cloud
Certificate Manager (דור שני) משתלב ישירות עם Certificate Authority Service ועם רשות אישורים ציבורית כדי לפשט את הניהול של אישורים פרטיים וציבוריים. הוא תומך בשני מודלים של שילוב:
Certificate Manager (דור שני) מנהל באופן אוטומטי אישורים לשירותים הבאים:
- סביבות מנוהלות עם זהויות של עומסי עבודה:
- GKE: אוטומציה של הנפקת אישורים ורוטציה של אישורים לעומסי העבודה שלכם ב-GKE.
- Compute Engine: אוטומציה של ניהול אישורים למכונות של Compute Engine.
- Cloud Load Balancing: Certificate Manager (דור שני) מבצע אוטומטית הקצאה וחידוש של אישורי TLS ל-Cloud Load Balancing באמצעות הגדרות הנפקה. האוטומציה הזו כוללת אבטחת תקשורת TLS הדדית (mTLS) בין מאזני עומסים של אפליקציות לבין קצה העורף שלהם.
- סביבות מנוהלות עם זהויות של עומסי עבודה:
שירות CA מנהל באופן אוטומטי אישורים לשירותים הבאים, ומנהל האישורים (דור שני) עוקב אחריהם:
- סביבות שמופעלת בהן זהות סוכן:
- Vertex AI Agent Engine: ניהול אוטומטי של אישורים כדי לאפשר אימות מאובטח ל- Google Cloud ולממשקי API של צד שלישי.
- Gemini Enterprise: ניהול אוטומטי של אישורים לסוכני שורש, לסוכנים ללא קוד ולסוכנים שמנוהלים על ידי Google בתוך פלטפורמת Gemini Enterprise.
- Cloud SQL: מכונות Cloud SQL עם אישורים שהונפקו על ידי CA Service מופיעות ב-Certificate Manager (דור שני) לצורך ניהול וניטור.
- Secure Web Proxy: פרוקסי עם אישורים שהונפקו על ידי CA Service מופיעים ב-Certificate Manager (דור שני) לצורך ניהול וניטור.
- Cloud Service Mesh: לעומסי עבודה ב-GKE שמשתמשים ב-Cloud Service Mesh יש אישורים שמנוהלים על ידי Certificate Manager (דור שני).
- שליטה במישור הבקרה של GKE: באשכולות GKE שמשתמשים באישור CA מותאם אישית ובאישורים (מ-CA Service) כדי לחתום על פרטי הכניסה ולאמת אותם במישור הבקרה של GKE, יש אישורים שמנוהלים על ידי Certificate Manager (דור שני).
- סביבות שמופעלת בהן זהות סוכן:
איך Certificate Manager (דור שני) משפיע על ממשקי API, על ה-CLI של gcloud ועל Terraform
ב-Certificate Manager (דור שני) יש תכונות שמבוססות על ממשקי API קיימים ועל ה-API החדש.
- Certificate Manager (דור שני): התכונות של הדור השני נתמכות באופן מלא וניתן לנהל אותן במסוף Google Cloud .
- Certificate Manager: ממשקי ה-API הקיימים לא הוצאו משימוש. אתם יכולים להמשיך להשתמש ב-CLI של gcloud, ב-Terraform ובקריאות ישירות ל-HTTP API כדי ליצור אינטראקציה עם תכונות מהדור הראשון.
Certificate Manager (דור שני) משתמש במרחבי השמות של ממשקי ה-API v1 ו-v2.
ברשימה הבאה מפורט פירוט של מרחב השמות של ה-API לכל משאב:
-
v2namespace: מכיל את Observed Certificates API (v2/projects.locations.observedCertificates) -
v1namespace: מכיל את ממשקי ה-API לניהול הליבה שמשמשים בשני הדורות:- Certificate API (
v1/projects.locations.certificates) - Certificate Map API (
v1/projects.locations.certificateMaps) - Certificate Issuance Config API
(
v1/projects.locations.certificateIssuanceConfigs) - Trust Config API (
v1/projects.locations.trustConfigs)
- Certificate API (
המאמרים הבאים
- איך פועל Certificate Manager (דור שני)
- השוואה בין גרסאות של Certificate Manager
- הנפקת אישור באמצעות CA Service ואימות ב-Certificate Manager (דור שני)
- אוטומציה של מחזור החיים של אישורים למאזני עומסים
- תפקידים והרשאות