如何在 GCP 负载均衡器 (GCLB) 上安装免费 SSL 证书

*Moeyo Mensuke（大阪福岛）

你好！
我是Beyond大阪事务所的拉面大王Hide。
这是我的第 7 篇文章。

上次我们讨论了使用 CloudwatchLogs 监控服务器中的特定字符串！我写了一篇关于使用名为 CloudwatchLogs 的有用工具进行通知的有趣博客文章，所以如果您有兴趣，请看一下！

● 使用 CloudWatch Logs 监控特定字符串！

https://beyondjapan.com/blog/2022/07/cloudwatchlogs_word_monitoring/

关于 Google 管理的 SSL 证书（免费的 SSL 证书）

Google 管理的 SSL 证书是免费的 SSL 证书，可以安装在 Google Cloud Load Balancing (GCLB) 上。
可以安装的GCLB类型如下。

• 全球外部 HTTP(S) 负载均衡器
• 全球外部 HTTP(S) 负载均衡器（旧版）
• 外部 SSL 代理负载均衡器

*不支持区域外部 HTTP(S) 负载均衡器和内部 HTTP(S)。

而且GCP会自动更新，非常方便。此外，可以在单个证书的使用者备用名称中指定多个域。

可以通过“控制台”或“gcloud 命令”完成安装。这次我们会从控制台安装，所以如果你想使用gcloud命令安装，请参考下面的文章！

● 尝试使用 gcloud 命令在 GCP 负载均衡器上设置免费 SSL 证书

尝试使用 gcloud 命令在 GCP 负载均衡器上设置免费 SSL 证书

*官方文档：使用Google管理的SSL证书

安装流程

*我们将在假设计算组和实例组已经构建的情况下解释它们。

① 网络服务>负载均衡>点击【创建负载均衡器】

② 点击HTTP(S)负载均衡栏中的【开始配置】

③ 选择以下内容并点击【继续】

④ 输入负载均衡器（LB）的名称

⑤ 设置以下内容

● 名称：请设置适当的名称
● 协议：HTTPS（包括 HTTP/2）
● IP 版本：IPv4
● IP 地址：*使用以下步骤设置静态外部 IP 地址
● 端口：443

⑥ 点击IP地址栏中的【创建IP地址】。

 

 

 

 

 

⑦ 填写您的姓名和描述，然后点击【预约】

 

*如果创建成功，将自动设置以下设置。

⑧ 在 DNS 中注册创建的静态外部 IP 地址

*IP地址写在下图黑色部分。

⑨点击证书>【创建新证书】

⑩ 输入以下内容并点击【创建】

● 名称：请输入合适的名称
● 创建模式：创建 Google 托管证书
● 域名：请指定在 DNS 中注册的域名

 

*创建完成后，如下图所示即表示完成。

⑪ 设置以下内容

*如果您想设置重定向到https，请勾选[启用从HTTP到HTTPS的重定向]。

⑫ 设置后端

*如果https通信的一端是LB，则前端会进行https通信，所以请配置后端启用http通信。

⑬ 设置路由规则，点击【创建】

⑭ 负载均衡 > 负载均衡名称 > 前端 > 证书 > 点击证书名称

*请在LB更新完成后执行此任务。

⑮ 检查SSL证书是否已创建

*如果状态为ACTIVE，则可以使用SSL证书。
*要使其ACTIVE，需要将指定域的DNS指向LB。

 

 

 

*如果如下所示状态为[PROVISIONNIG（正在验证）]，则表示 SSL 证书正在创建过程中。
*如果主题备用名称中包含多个域，则在所有域都经过身份验证之前，将无法使用此证书进行 https 通信。
*完成身份验证最多需要 24 小时。

⑯ 操作确认

·测试

 

・测试2

概括

你怎么认为？我认为从控制台颁发和安装 SSL 证书非常容易，就像 AWS 的 ACM 一样。

管理 SSL 证书往往非常麻烦，因此如果您能够满足安全要求，请使用 Google 托管 SSL 证书，该证书可以创建一次，然后自动更新！

另外，下次我会写一篇关于使用 LB 设置 URL 重定向的文章。