部署概览

本页面简要介绍了如何使用证书管理器为应用负载平衡器和代理网络负载平衡器预配由 Google 管理的证书和自行管理的证书。

在阅读本页面之前，请确保您熟悉 Cloud 负载均衡文档中的 SSL 证书概览。

Certificate Manager 配置方法

Certificate Manager 为使用目标 HTTPS 代理的应用负载平衡器和使用目标 SSL 代理的代理网络负载平衡器提供了两种证书配置方法。这是 Cloud Load Balancing 的三种可能的证书配置方法中的两种。如需详细了解 Certificate Manager 和 Cloud Load Balancing，请参阅负载均衡文档中的证书配置方法。

• 负载平衡器的目标代理引用 Certificate Manager 证书映射：负载平衡器的目标代理引用单个证书映射。证书映射默认支持数千个条目，并且可以扩展到数百万个条目。由 Google Front End (GFE) 提供支持的外部应用负载平衡器和外部代理网络负载平衡器使用此方法：

  • 全球外部应用负载均衡器
  • 传统应用负载均衡器
  • 全球外部代理网络负载均衡器
  • 传统代理网络负载均衡器

• 负载平衡器的目标代理直接引用 Certificate Manager 证书：负载平衡器的目标代理最多可以引用 100 个 Certificate Manager 证书。以下由托管式开源 Envoy 代理软件提供支持的应用负载平衡器使用此方法：

  • 区域外部应用负载均衡器
  • 区域级内部应用负载均衡器
  • 跨区域内部应用负载均衡器

Certificate Manager 还支持以下产品，这些产品会在其配置中引用 Certificate Manager 证书：

• 安全 Web 代理网关引用 Certificate Manager 证书：在配置安全 Web 代理网关之前，您需要创建一个或多个 Certificate Manager 证书供网关使用。如需了解详情，请参阅部署 SSL 证书和部署安全 Web 代理实例。

• 媒体 CDN 边缘缓存服务引用 Certificate Manager 证书：媒体 CDN 边缘缓存服务最多支持五个 Certificate Manager 证书。如需了解详情，请参阅 SSL (TLS) 证书和配置 SSL (TLS) 证书。

证书类型

Certificate Manager 同时支持 Google 管理的证书和自行管理的证书。使用目标 HTTPS 代理的所有应用负载平衡器以及支持目标 SSL 代理的所有代理网络负载平衡器都可以使用 Google 管理的证书或自行管理的证书管理器证书。

• 由 Google 管理的 Certificate Manager 证书： Google Cloud 为您获取和管理的证书。根据负载平衡器及其 Certificate Manager 配置方法，您可以使用负载平衡器授权、DNS 授权或 Certificate Authority Service (CA Service) 预配 Google 管理的 Certificate Manager 证书。

• 自行管理的 Certificate Manager 证书：您自行获取、预配和续订的证书。

产品支持

下表按产品汇总了对 Google 管理的 Certificate Manager 证书和自行管理的 Certificate Manager 证书的支持情况。

产品	Google 管理的证书			自行管理的证书
	负载均衡器授权	DNS 授权	Certificate Authority Service (CA Service)
全球外部应用负载平衡器和代理网络负载平衡器 全球外部应用负载均衡器 传统应用负载均衡器 全球外部代理网络负载均衡器 传统代理网络负载均衡器	部署指南	部署指南	部署指南	部署指南
区域级外部和内部应用负载平衡器： 区域级外部应用负载均衡器 区域级内部应用负载均衡器		部署指南	部署指南	部署指南
跨区域内部应用负载均衡器		部署指南	部署指南	部署指南
安全 Web 代理网关		部署指南	部署指南	部署指南
媒体 CDN 边缘缓存服务

后续步骤

• 如果您想将现有证书从负载平衡器迁移到 Certificate Manager，请按照将证书迁移到 Certificate Manager 中的说明操作。
• 如需详细了解 Certificate Manager 和基于 GFE 的负载平衡器，请参阅 Certificate Manager 的运作方式。
• 如果您想使用双向 TLS 身份验证 (mTLS)，请参阅 Cloud 负载均衡文档中的双向 TLS 身份验证部分。