本頁面將概略說明如何使用憑證管理工具,為應用程式負載平衡器和 Proxy Network Load Balancer 佈建 Google 代管和自行管理的憑證。
閱讀本頁面之前,請先熟悉 Cloud Load Balancing 說明文件中的SSL 憑證總覽。
Certificate Manager 設定方法
憑證管理工具提供兩種憑證設定方法,分別適用於使用目標 HTTPS Proxy 的應用程式負載平衡器,以及使用目標 SSL Proxy 的 Proxy 網路負載平衡器。這是 Cloud Load Balancing 的三種可能憑證設定方法中的兩種。如要進一步瞭解憑證管理工具和 Cloud Load Balancing,請參閱負載平衡說明文件中的「憑證設定方法」。
負載平衡器的目標 Proxy 參照 Certificate Manager 憑證對應關係:負載平衡器的目標 Proxy 參照單一憑證對應關係。憑證對應關係預設支援數千個項目,可擴充至數百萬個項目。外部應用程式負載平衡器和外部 Proxy 網路負載平衡器會使用這個方法,這些負載平衡器由 Google Front End (GFE) 提供支援:
- 全域外部應用程式負載平衡器
- 傳統版應用程式負載平衡器
- 全域外部 Proxy 網路負載平衡器
- 傳統版 Proxy 網路負載平衡器
負載平衡器的目標 Proxy 直接參照 Certificate Manager 憑證:負載平衡器的目標 Proxy 最多可參照 100 個 Certificate Manager 憑證。下列應用程式負載平衡器採用由代管 開放原始碼 Envoy Proxy 軟體提供支援:
- 區域性外部應用程式負載平衡器
- 區域內部應用程式負載平衡器
- 跨區域內部應用程式負載平衡器
Certificate Manager 也支援下列產品,這些產品會在設定中參照 Certificate Manager 憑證:
Secure Web Proxy 閘道參照憑證管理工具憑證:設定 Secure Web Proxy 閘道前,您必須先建立一或多個供閘道使用的憑證管理工具憑證。詳情請參閱「部署 SSL 憑證」和「部署 Secure Web Proxy 執行個體」。
Media CDN 邊緣快取服務參照憑證管理工具憑證:Media CDN 邊緣快取服務最多可支援五個憑證管理工具憑證。詳情請參閱「SSL (TLS) 憑證」和「設定 SSL (TLS) 憑證」。
憑證類型
Certificate Manager 支援 Google 代管和自行管理的憑證。所有使用目標 HTTPS Proxy 的應用程式負載平衡器,以及所有支援目標 SSL Proxy 的 Proxy 網路負載平衡器,都可以使用 Google 代管或自行管理的 Certificate Manager 憑證。
Google 代管的憑證管理工具憑證: Google Cloud 為您取得及管理的憑證。視負載平衡器及其 Certificate Manager 設定方法而定,您可以使用負載平衡器授權、DNS 授權,或使用憑證授權單位服務 (CA 服務) 來佈建 Google 代管的 Certificate Manager 憑證。
自行管理的憑證管理工具憑證:您自行取得、佈建及更新的憑證。
產品支援
下表列出各項產品支援的 Google 代管和自行管理 Certificate Manager 憑證。
| 產品 | Google 代管憑證 | 自行管理的憑證 | ||
|---|---|---|---|---|
| 負載平衡器授權 | DNS 授權 | 憑證授權單位服務 (CA 服務) | ||
全域外部應用程式負載平衡器和 Proxy 網路負載平衡器
|
部署指南 |
部署指南 |
部署指南 |
部署指南 |
區域性外部和內部應用程式負載平衡器:
|
部署指南 |
部署指南 |
部署指南 |
|
| 跨區域內部應用程式負載平衡器 | 部署指南 |
部署指南 |
部署指南 |
|
| Secure Web Proxy 閘道 | 部署指南 |
部署指南 |
部署指南 |
|
| Media CDN 邊緣快取服務 | ||||
後續步驟
- 如果您想將現有憑證從負載平衡器遷移至 Certificate Manager,請按照「將憑證遷移至 Certificate Manager」中的指示操作。
- 如要進一步瞭解 Certificate Manager 和以 GFE 為基礎的負載平衡器,請參閱「Certificate Manager 的運作方式」。
- 如要使用相互傳輸層安全性 (mTLS) 驗證,請參閱 Cloud Load Balancing 說明文件中的「相互傳輸層安全性驗證」。