Automatizar o ciclo de vida do certificado para balanceadores de carga

Saiba como usar o Certificate Manager (2ª geração) para automatizar o ciclo de vida de um certificado gerenciado pelo Google para um balanceador de carga de aplicativo global.

Antes de começar

  1. Faça login na sua conta do Google Cloud . Se você começou a usar o Google Cloud, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.
  8. Você precisa de um balanceador de carga de aplicativo com pelo menos um proxy HTTPS de destino. Para mais informações, consulte Escolher um balanceador de carga.

Funções exigidas

Para receber as permissões necessárias para configurar o gerenciamento do ciclo de vida, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para configurar o gerenciamento do ciclo de vida. Para acessar as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para configurar o gerenciamento do ciclo de vida:

  • compute.targetHttpsProxies.update
  • compute.targetSslProxies.update
  • compute.targetHttpsProxies.setCertificateMap
  • compute.targetSslProxies.setCertificateMap
  • compute.sslCertificates.*

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Configurar o gerenciamento do ciclo de vida do certificado

Para configurar o gerenciamento de ciclo de vida do certificado do balanceador de carga:

  1. No console do Google Cloud , acesse o Certificate Manager (2ª geração).

    Acessar o Certificate Manager (2ª geração)

  2. No menu de navegação, clique em Gerenciar ciclo de vida.

  3. Clique na guia Balanceamento de carga. Uma lista dos seus balanceadores de carga vai aparecer.

  4. Expanda a linha do balanceador de carga para ver os certificados anexados.

  5. Clique no nome do proxy de destino.

  6. Clique em Configurar gerenciamento do ciclo de vida. A página mostra uma lista de certificados associados que podem ser adicionados e removidos.

  7. Clique em Certificado e em Adicionar certificado.

  8. Selecione um certificado ou crie um novo.

  9. Insira os seguintes detalhes do novo certificado:

    • Nome:insira um nome exclusivo, por exemplo, my-lb-cert.
    • Escopo:selecione o escopo de distribuição de chaves adequado (por exemplo, Default).
    • Tipo de certificado:selecione "Certificados autogerenciados" ou "Certificados gerenciados pelo Google". Para mais informações, consulte tipos de certificado.
    • Nome de domínio:insira o nome de domínio que este certificado abrange (por exemplo, app.example.com). Esse domínio precisa ser controlado por você.
    • Configuração de emissão:selecione uma configuração de emissão na lista. Essa configuração determina a autoridade certificadora, o ciclo de vida e o tipo de chave.

  10. Clique em Criar. O console adiciona o novo certificado à lista do proxy de destino.

  11. Revise a lista de certificados e clique em Atualizar para aplicar as mudanças ao proxy de destino.

Verificar a configuração

Para verificar a configuração do certificado:

  1. Verifique o status do certificado. A emissão e o provisionamento podem levar de vários minutos a algumas horas. O certificado começa com o status Pendente.

  2. Monitore o status do certificado na guia Certificados do Gerenciador de certificados (2ª geração). Quando o status é Ativo, o certificado está pronto.

  3. Verifique se os registros DNS do seu domínio apontam para o endereço IP do balanceador de carga.

  4. Teste a configuração acessando seu serviço usando HTTPS (por exemplo, https://app.example.com).

Limpar

Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga as etapas abaixo.

  1. Remova o certificado do proxy de destino:

    1. Acesse a guia Gerenciar ciclo de vida > Balanceamento de carga do proxy de destino.
    2. Encontre o certificado que você criou (my-lb-cert).
    3. Remova o certificado da lista.
    4. Clique em Atualizar.

  2. Exclua o recurso de certificado:

    1. Acesse a guia Certificados no Certificate Manager (2ª geração).
    2. Selecione o certificado (my-lb-cert).
    3. Clique em Excluir.

Não é necessário excluir o balanceador de carga, o proxy de destino ou a configuração de emissão de certificado que você criou ou usou neste guia de início rápido.

A seguir