为负载平衡器自动执行证书生命周期

了解如何使用 Certificate Manager(第 2 代)自动执行全球应用负载平衡器的 Google 管理的证书的生命周期。

准备工作

  1. 登录您的 Google Cloud 账号。如果您是 Google Cloud的新用户, 请创建账号,以便在 真实场景中评估我们产品的性能。新客户还可以获得 300 美元的免费抵用金,用于 运行、测试和部署工作负载。

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.
  8. 您需要一个现有的应用负载平衡器,其中至少包含一个目标 HTTPS 代理。如需了解详情,请参阅 选择负载均衡器

所需角色

如需获得配置生命周期管理所需的权限,请让管理员向您授予项目的以下 IAM 角色:

如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

这些预定义角色包含 配置生命周期管理所需的权限。如需查看所需的确切权限,请展开所需权限部分:

所需权限

配置生命周期管理需要以下权限:

  • compute.targetHttpsProxies.update
  • compute.targetSslProxies.update
  • compute.targetHttpsProxies.setCertificateMap
  • compute.targetSslProxies.setCertificateMap
  • compute.sslCertificates.*

您也可以使用自定义角色或其他预定义角色来获取这些权限。

配置证书生命周期管理

如需为负载均衡器证书配置生命周期管理,请执行以下操作:

  1. 在 Google Cloud 控制台中,前往 Certificate Manager(第 2 代)

    前往 Certificate Manager(第 2 代)

  2. 在导航菜单中,点击管理生命周期

  3. 点击负载均衡 标签页。系统会显示负载平衡器列表。

  4. 展开负载均衡器行,查看所挂接的证书。

  5. 点击目标代理 的名称。

  6. 点击配置生命周期管理 。该页面会显示您可以添加和移除的相关证书列表。

  7. 点击证书 ,然后点击添加证书

  8. 选择现有证书或创建新证书。

  9. 输入新证书的以下详细信息:

    • 名称 :输入唯一名称(例如 my-lb-cert)。
    • 范围 :选择适当的密钥分发范围(例如 Default)。
    • 证书类型 :选择自行管理的证书或 Google 管理的证书。如需了解详情,请参阅 证书类型
    • 域名 :输入此证书涵盖的域名(例如 app.example.com)。此域名必须是您控制的域名。
    • 颁发配置 :从列表中选择现有的颁发配置。此配置决定了证书授权机构、有效期和密钥类型。

  10. 点击创建 。控制台会将新证书添加到目标代理的列表中。

  11. 查看证书列表,然后点击更新 ,将更改应用于目标代理。

验证配置

如需验证证书配置,请执行以下操作:

  1. 查看证书状态。颁发和预配可能需要几分钟到几小时不等的时间。证书最初的状态为待处理

  2. 在 Certificate Manager(第 2 代)的证书 标签页中监控证书状态。当状态为有效时,证书即可 使用。

  3. 确保您网域的 DNS 记录指向负载均衡器 IP 地址。

  4. 使用 HTTPS(例如 https://app.example.com)访问您的服务,以测试设置。

清理

为避免因本页中使用的资源导致您的 Google Cloud 账号产生费用,请按照以下步骤操作。

  1. 从目标代理中移除证书

    1. 前往目标代理的 管理生命周期 > 负载均衡 标签页。
    2. 找到您创建的证书 (my-lb-cert)。
    3. 从列表中移除证书。
    4. 点击更新

  2. 删除证书资源

    1. 前往 Certificate Manager(第 2 代)中的证书 标签页。
    2. 选择证书 (my-lb-cert)。
    3. 点击删除

您无需删除在本快速入门中创建或使用的负载均衡器、目标代理或证书颁发配置。

后续步骤