Mengotomatiskan siklus proses sertifikat untuk load balancer
Pelajari cara menggunakan Pengelola Sertifikat (generasi ke-2) untuk mengotomatiskan siklus proses sertifikat yang dikelola Google untuk Load Balancer Aplikasi global.
Sebelum memulai
- Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.- Anda memerlukan Load Balancer Aplikasi yang sudah ada dengan setidaknya satu proxy HTTPS target. Untuk mengetahui informasi selengkapnya, lihat Memilih load balancer.
Peran yang diperlukan
Untuk mendapatkan izin yang Anda perlukan guna mengonfigurasi pengelolaan siklus proses, minta administrator Anda untuk memberi Anda peran IAM berikut di project Anda:
- Certificate Manager Editor (
roles/certificatemanager.editor) - Load Balancer Admin (
roles/compute.loadBalancerAdmin)
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin yang diperlukan untuk mengonfigurasi pengelolaan siklus proses. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk mengonfigurasi pengelolaan siklus proses:
-
compute.targetHttpsProxies.update -
compute.targetSslProxies.update -
compute.targetHttpsProxies.setCertificateMap -
compute.targetSslProxies.setCertificateMap -
compute.sslCertificates.*
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Mengonfigurasi pengelolaan siklus proses sertifikat
Untuk mengonfigurasi pengelolaan siklus proses sertifikat load balancer Anda:
Di konsol Google Cloud , buka Certificate Manager (generasi ke-2).
Di menu navigasi, klik Manage Lifecycle.
Klik tab Load balancing. Daftar load balancer Anda akan muncul.
Luaskan baris load balancer untuk melihat sertifikat terlampir.
Klik nama target proxy.
Klik Konfigurasi pengelolaan siklus proses. Halaman ini menampilkan daftar sertifikat terkait yang dapat Anda tambahkan dan hapus.
Klik Sertifikat, lalu klik Tambahkan sertifikat.
Pilih sertifikat yang ada atau buat sertifikat baru.
Masukkan detail berikut untuk sertifikat baru:
- Nama: Masukkan nama unik (misalnya,
my-lb-cert). - Cakupan: Pilih cakupan distribusi kunci yang sesuai (misalnya,
Default). - Jenis sertifikat: Pilih Sertifikat yang dikelola sendiri atau yang dikelola Google. Untuk mengetahui informasi selengkapnya, lihat jenis sertifikat.
- Nama Domain: Masukkan nama domain yang dicakup oleh sertifikat ini (misalnya,
app.example.com). Domain ini harus domain yang Anda kontrol. - Konfigurasi Penerbitan: Pilih konfigurasi penerbitan yang ada dari daftar. Konfigurasi ini menentukan certificate authority, masa aktif, dan jenis kunci.
- Nama: Masukkan nama unik (misalnya,
Klik Create. Konsol akan menambahkan sertifikat baru ke daftar untuk proxy target.
Tinjau daftar sertifikat, lalu klik Perbarui untuk menerapkan perubahan pada proxy target.
Memverifikasi konfigurasi
Untuk memverifikasi konfigurasi sertifikat:
Periksa status sertifikat. Penerbitan dan penyediaan dapat memerlukan waktu beberapa menit hingga beberapa jam. Sertifikat dimulai dengan status Tertunda.
Pantau status sertifikat di tab Sertifikat dalam Pengelola Sertifikat (generasi ke-2). Jika statusnya Aktif, sertifikat sudah siap.
Pastikan data DNS domain Anda mengarah ke alamat IP load balancer.
Uji penyiapan dengan mengakses layanan Anda menggunakan HTTPS (misalnya,
https://app.example.com).
Pembersihan
Agar akun Google Cloud Anda tidak dikenai biaya untuk resource yang digunakan pada halaman ini, ikuti langkah-langkah berikut.
Hapus sertifikat dari proxy target:
- Buka tab Manage Lifecycle > Load balancing untuk proxy target Anda.
- Temukan sertifikat yang Anda buat (
my-lb-cert). - Hapus sertifikat dari daftar.
- Klik Update.
Hapus resource sertifikat:
- Buka tab Sertifikat di Pengelola Sertifikat (generasi ke-2).
- Pilih sertifikat (
my-lb-cert). - Klik Hapus.
Anda tidak perlu menghapus load balancer, proxy target, atau konfigurasi penerbitan sertifikat yang Anda buat atau gunakan dalam panduan memulai ini.