Я следил Руководство GCP для создания управляемого SSL-сертификата для моего поддомена <subdomain>.<domain>.dev.
Мой регистратор доменов настроен с использованием записей NS:
ns-cloud-d1.googledomains.com.
ns-cloud-d2.googledomains.com.
ns-cloud-d3.googledomains.com.
ns-cloud-d4.googledomains.com.
Мой проект GCP управляет доменным именем с помощью Cloud DNS со следующими записями:
<domain>.dev. MX 3600
10 eforward1.registrar-servers.com.
10 eforward2.registrar-servers.com.
10 eforward3.registrar-servers.com.
15 eforward4.registrar-servers.com.
20 eforward5.registrar-servers.com.
<domain>.dev. NS 21600
ns-cloud-d1.googledomains.com.
ns-cloud-d2.googledomains.com.
ns-cloud-d3.googledomains.com.
ns-cloud-d4.googledomains.com.
<domain>.dev. SOA 3601
ns-cloud-d1.googledomains.com. <mail>. 2019032900 86400 7200 3600000 3601
<domain>.dev. TXT 3600
"v=spf1" "include:spf.efwd.registrar-servers.com" "~all"
<subdomain>.<domain>.dev. A 7200
<ingress-ip>
www.<domain>.dev. CNAME 1799
<domain>.dev.
Пинг <subdomain>.<domain>.dev разрешает ожидаемый IP-адрес целевого Ingress и делает запросы к приложению на http://<subdomain>.<domain>.dev работает правильно.
Так почему же не удается создать управляемый сертификат с FAILED_NOT_VISIBLE?
Моя ошибка заключалась в неправильном указании имени статического IP-ресурса в Ingress.
При создании Ingress был создан новый глобальный статический IP. По какой-то причине он был создан с автогенерированным именем, например k8s-fw-myapp-myapp-api--3b52739e6d618a1f, а не присвоенное мной удобочитаемое имя.
Изменение аннотации Ingress kubernetes.io/ingress.global-static-ip-name к автогенерированному имени исправлена проблема.