Zertifikatslebenszyklus für Load Balancer automatisieren

Hier erfahren Sie, wie Sie mit Zertifikatmanager (2. Generation) den Lebenszyklus eines von Google verwalteten Zertifikats für einen globalen Application Load Balancer automatisieren.

Hinweis

  1. Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.
  8. Sie benötigen einen vorhandenen Application Load Balancer mit mindestens einem Ziel-HTTPS-Proxy. Weitere Informationen finden Sie unter Load-Balancer auswählen.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, damit Sie die nötigen Berechtigungen für die Konfiguration der Lebenszyklusverwaltung haben:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Konfigurieren der Verwaltung des Objektlebenszyklus erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um die Lebenszyklusverwaltung zu konfigurieren:

  • compute.targetHttpsProxies.update
  • compute.targetSslProxies.update
  • compute.targetHttpsProxies.setCertificateMap
  • compute.targetSslProxies.setCertificateMap
  • compute.sslCertificates.*

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Verwaltung des Zertifikatslebenszyklus konfigurieren

So konfigurieren Sie die Lebenszyklusverwaltung für Ihr Load-Balancer-Zertifikat:

  1. Rufen Sie in der Google Cloud Console Zertifikatmanager (2. Generation) auf.

    Zum Zertifikatmanager (2. Generation)

  2. Klicken Sie im Navigationsmenü auf Lebenszyklus verwalten.

  3. Klicken Sie auf den Tab Load Balancing (Lastenausgleich). Eine Liste Ihrer Load Balancer wird angezeigt.

  4. Erweitern Sie die Load-Balancer-Zeile, um die angehängten Zertifikate zu sehen.

  5. Klicken Sie auf den Namen des Zielproxys.

  6. Klicken Sie auf Lebenszyklusverwaltung konfigurieren. Auf der Seite wird eine Liste der zugehörigen Zertifikate angezeigt, die Sie hinzufügen und entfernen können.

  7. Klicken Sie auf Zertifikat und dann auf Zertifikat hinzufügen.

  8. Wählen Sie ein vorhandenes Zertifikat aus oder erstellen Sie ein neues.

  9. Geben Sie die folgenden Details für das neue Zertifikat ein:

    • Name:Geben Sie einen eindeutigen Namen ein, z. B. my-lb-cert.
    • Bereich:Wählen Sie den entsprechenden Bereich für die Schlüsselverteilung aus, z. B. Default.
    • Zertifikattyp:Wählen Sie „Selbstverwaltete“ oder „Von Google verwaltete Zertifikate“ aus. Weitere Informationen finden Sie unter Zertifikatstypen.
    • Domainname:Geben Sie den Domainnamen ein, für den dieses Zertifikat gilt (z. B. app.example.com). Sie müssen die Kontrolle über diese Domain haben.
    • Ausstellungskonfiguration:Wählen Sie Ihre vorhandene Ausstellungskonfiguration aus der Liste aus. Diese Konfiguration gibt die Zertifizierungsstelle, die Gültigkeitsdauer und den Schlüsseltyp an.

  10. Klicken Sie auf Erstellen. In der Konsole wird das neue Zertifikat der Liste für den Zielproxy hinzugefügt.

  11. Prüfen Sie die Liste der Zertifikate und klicken Sie dann auf Aktualisieren, um die Änderungen auf den Zielproxy anzuwenden.

Konfiguration prüfen

So prüfen Sie die Zertifikatskonfiguration:

  1. Prüfen Sie den Zertifikatsstatus. Die Ausstellung und Bereitstellung kann einige Minuten bis einige Stunden dauern. Das Zertifikat beginnt mit dem Status Ausstehend.

  2. Überwachen Sie den Zertifikatsstatus auf dem Tab Zertifikate in Zertifikatmanager (2. Generation). Wenn der Status Aktiv lautet, ist das Zertifikat bereit.

  3. Achten Sie darauf, dass die DNS-Einträge Ihrer Domain auf die IP-Adresse des Load-Balancers verweisen.

  4. Testen Sie die Einrichtung, indem Sie über HTTPS auf Ihren Dienst zugreifen (z. B. https://app.example.com).

Bereinigen

Mit den folgenden Schritten vermeiden Sie, dass Ihrem Google Cloud -Konto die auf dieser Seite verwendeten Ressourcen in Rechnung gestellt werden:

  1. Zertifikat aus dem Zielproxy entfernen:

    1. Rufen Sie für Ihren Ziel-Proxy den Tab Lebenszyklus verwalten > Load-Balancing auf.
    2. Suchen Sie das Zertifikat, das Sie erstellt haben (my-lb-cert).
    3. Entfernen Sie das Zertifikat aus der Liste.
    4. Klicken Sie auf Aktualisieren.

  2. Zertifikatsressource löschen:

    1. Rufen Sie im Zertifikatmanager (2. Generation) den Tab Zertifikate auf.
    2. Wählen Sie das Zertifikat aus (my-lb-cert).
    3. Klicken Sie auf Löschen.

Sie müssen den Load Balancer, den Ziel-Proxy oder die Konfiguration für die Zertifikatausstellung, die Sie in dieser Kurzanleitung erstellt oder verwendet haben, nicht löschen.

Nächste Schritte