부하 분산기의 인증서 수명 주기 자동화
인증서 관리자 (2세대)를 사용하여 전역 애플리케이션 부하 분산기의 Google 관리형 인증서 수명 주기를 자동화하는 방법을 알아봅니다.
시작하기 전에
- 계정에 로그인합니다. Google Cloud 를 처음 사용하는 경우 계정을 만들어 실제 시나리오에서 제품의 성능을 평가하세요. Google Cloud신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.- 대상 HTTPS 프록시가 하나 이상 있는 기존 애플리케이션 부하 분산기가 필요합니다. 자세한 내용은 부하 분산기 선택을 참조하세요.
필요한 역할
수명 주기 관리를 구성하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.
- 인증서 관리자 편집자 (
roles/certificatemanager.editor) - 부하 분산기 관리자 (
roles/compute.loadBalancerAdmin)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
이러한 사전 정의된 역할에는 수명 주기 관리를 구성하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.
필수 권한
수명 주기 관리를 구성하려면 다음 권한이 필요합니다.
-
compute.targetHttpsProxies.update -
compute.targetSslProxies.update -
compute.targetHttpsProxies.setCertificateMap -
compute.targetSslProxies.setCertificateMap -
compute.sslCertificates.*
인증서 수명 주기 관리 구성
부하 분산기 인증서의 수명 주기 관리를 구성하려면 다음 단계를 따르세요.
콘솔에서 인증서 관리자 (2세대)로 이동합니다. Google Cloud
탐색 메뉴에서 수명 주기 관리 를 클릭합니다.
부하 분산 탭을 클릭합니다. 부하 분산기 목록이 표시됩니다.
부하 분산기 행을 펼쳐 연결된 인증서를 확인합니다.
대상 프록시 의 이름을 클릭합니다.
수명 주기 관리 구성 을 클릭합니다. 페이지에 추가하거나 삭제할 수 있는 연결된 인증서 목록이 표시됩니다.
인증서 를 클릭한 후 인증서 추가 를 클릭합니다.
기존 인증서를 선택하거나 새 인증서를 만듭니다.
새 인증서에 대한 다음 세부정보를 입력합니다.
- 이름: 고유한 이름을 입력합니다 (예:
my-lb-cert). - 범위: 적절한 키 배포 범위를 선택합니다 (예:
Default). - 인증서 유형: 자체 관리형 또는 Google 관리형 인증서를 선택합니다. 자세한 내용은 인증서 유형을 참조하세요.
- 도메인 이름: 이 인증서가 적용되는 도메인 이름을 입력합니다 (예:
app.example.com). 이 도메인은 사용자가 제어하는 도메인이어야 합니다. - 발급 구성: 목록에서 기존 발급 구성을 선택합니다. 이 구성은 인증 기관, 수명, 키 유형을 지정합니다.
- 이름: 고유한 이름을 입력합니다 (예:
만들기 를 클릭합니다. 콘솔에서 대상 프록시의 목록에 새 인증서를 추가합니다.
인증서 목록을 검토한 후 업데이트 를 클릭하여 변경사항을 대상 프록시에 적용합니다.
구성 확인
인증서 구성을 확인하려면 다음 단계를 따르세요.
인증서 상태를 확인합니다. 발급 및 프로비저닝은 몇 분에서 몇 시간 정도 걸릴 수 있습니다. 인증서는 대기 중 상태로 시작됩니다.
인증서 관리자 (2세대) 내의 인증서 탭에서 인증서 상태를 모니터링합니다. 상태가 활성이면 인증서가 준비된 것입니다.
도메인의 DNS 레코드가 부하 분산기 IP 주소를 가리키는지 확인합니다.
HTTPS를 사용하여 서비스에 액세스하여 설정을 테스트합니다 (예:
https://app.example.com).
정리
이 페이지에서 사용한 리소스 비용이 Google Cloud 계정에 청구되지 않도록 하려면 다음 단계를 수행합니다.
대상 프록시에서 인증서 삭제:
- 대상 프록시의 수명 주기 관리 > 부하 분산 탭으로 이동합니다.
- 만든 인증서 (
my-lb-cert)를 찾습니다. - 목록에서 인증서를 삭제합니다.
- 업데이트 를 클릭합니다.
인증서 리소스 삭제:
- 인증서 관리자 (2세대)의 인증서 탭으로 이동합니다.
- 인증서 (
my-lb-cert)를 선택합니다. - 삭제 를 클릭합니다.
이 빠른 시작에서 만들거나 사용한 부하 분산기, 대상 프록시 또는 인증서 발급 구성을 삭제할 필요는 없습니다.