Назад | Перейти на главную страницу

Как обновить ресурс SslCertificate в балансировщике нагрузки Google Cloud?

Есть ли способ возобновить ресурс SslCertificate в балансировщике нагрузки Google Cloud, когда истекает срок действия базового сертификата, или вам нужно создать новый ресурс с обновленным сертификатом?

Я имею в виду эту услугу: https://cloud.google.com/compute/docs/load-balancing/http/ssl-certificates (Обратите внимание на отсутствие ссылки на продление сертификата).

Спасибо всем!

В Global HTTP Load Balancer от Google каждый целевой прокси-сервер HTTPS связан с сертификатом. Вы можете использовать инструмент gcloud (предустановленный в образах GCE) для обновления целевых прокси-серверов новыми сертификатами. Но убедитесь, что:

  • Ваша версия gcloud относительно недавняя. Команды target-https-proxies были добавлены совсем недавно, поэтому их нет в старых версиях gcloud. (Не путать с target-http-proxies, который управляет сайтами HTTP с открытым текстом)
  • У вашего сервера продления есть доступ API к ресурсам Compute Engine. Вы можете настроить это в своих шаблонах GCE или для каждого экземпляра.

Вы можете запросить у gcloud текущий сертификат, чтобы проверить, истекает ли срок его действия. Если это так, вы можете загрузить свой новый сертификат, а затем использовать target-https-proxies update команду для перехода на новый сертификат. Вы не увидите изменений сразу, но вскоре обновленный сертификат должен быть установлен глобально.

Квота на использование составляет 30 SSL-сертификатов (по крайней мере, для моей учетной записи). Но если вы не будете слишком агрессивны с продлением, у вас не возникнет проблем, даже если ваш скрипт продления не удалит просроченные сертификаты. Было бы неплохо сохранить хотя бы один старый сертификат на случай, если что-то пойдет не так и вам нужно будет восстановить его.

Похоже, Google предлагает вам другое решение, вы можете создать новый сертификат, создать новый ресурс SslCertificate и поместить его в балансировщик нагрузки. Это позволит вам менять сертификаты без простоев, если что-то не так с новым сертификатом. В конце концов, вы можете удалить истекший ресурс SslCertificate.