Usa certificados TLS administrados y HTTPS

En esta página, se muestra cómo desactivar y volver a habilitar la función de certificados TLS administrados que proporciona y renueva de forma automática los certificados TLS para admitir conexiones HTTPS en Knative serving.

Si quieres usar HTTPS, debe suceder lo siguiente:

  • Tu contenedor debería seguir escuchando en $PORT.
  • Debes elegir la forma en la que proporcionas certificados TLS:

    • Usa certificados TLS administrados, en los que los certificados TLS se crean y renuevan de forma automática según sea necesario. En esta página, se describe esta función que está disponible en las versiones compatibles de Google Kubernetes Engine.
    • Usa tus propios certificados. Si eliges esta opción, serás responsable de obtener y renovar los certificados. En algunas situaciones, descritas en Limitaciones, debes usar tus propios certificados.
  • Para usar la función de certificados administrados, también debes asignar tu dominio personalizado si usas certificados administrados.

Usa HTTPS y HTTP

De forma predeterminada, si usas certificados administrados, los clústeres o servicios de Knative serving con dichos certificados se exponen al tráfico HTTP y HTTPS. Si solo deseas tráfico HTTPS, puedes habilitar los redireccionamientos a HTTPS para forzar el uso de HTTPS en todo el tráfico.

Soluciona problemas

Si tienes problemas cuando usas certificados TLS administrados, consulta la página Soluciona problemas de TLS administrados.

Limitaciones

Las siguientes consideraciones se aplican al uso de la función de certificados TLS administrados:

  • Los certificados TLS administrados están inhabilitados y no son compatibles con los clústeres privados de Knative serving en Google Cloud.
  • Para usar la función de certificados administrados, tu servicio debe estar expuesto de manera externa; no puede ser un servicio local de clúster ni uno que expone la nube privada virtual.
  • La función de certificados administrados solo funciona con Cloud Service Mesh. No se admiten el complemento ni otras opciones de configuración de Istio.
  • Esta función usa Let's Encrypt, que tiene un límite de cuota inicial de 50 certificados TLS por semana, por dominio registrado. Para solicitar un aumento de la cuota, sigue los pasos que se indican en la documentación de Let's Encrypt.
  • Cuando se ejecuta un clúster de Knative serving en otras plataformas, como una local o AWS, esta función se inhabilita. Para usar esta función, debes asegurarte de que el clúster pueda acceder a Let's Encrypt y que tu servicio de entrada de Cloud Service Mesh esté expuesto en la Internet pública.

Antes de comenzar

En las instrucciones de esta página, se supone lo siguiente:

Inhabilita los certificados TLS y HTTPS administrados para todo un clúster

Inhabilita TLS administrados para un clúster mediante la actualización del ConfigMap config-domainmapping:

kubectl patch cm config-domainmapping -n knative-serving -p '{"data":{"autoTLS":"Disabled"}}'

Inhabilita TLS administrados y HTTPS para una asignación de dominio específica

Si es necesario, puedes desactivar TLS administrados para una asignación de dominio específica:

  1. Agrega la anotación domains.cloudrun.com/disableAutoTLS: "true":

    kubectl annotate domainmappings DOMAIN domains.cloudrun.com/disableAutoTLS=true
  2. Verifica que HTTPS no funcione:

    curl https://DOMAIN

  3. Verifica que se use HTTP para el servicio:

    gcloud run domain-mappings describe --domain DOMAIN

    Reemplaza DOMAIN por el nombre de tu dominio, por ejemplo: your-domain.com.

    Verifica el campo url: en el resultado del comando anterior. La URL debe contener http, no https.

Vuelve a habilitar los certificados TLS administrados y HTTPS

Para volver a habilitar TLS administrados, sigue estos pasos:

  1. Si aún no lo hiciste, crea una asignación de dominio para el servicio y actualiza el registro DNS según las instrucciones de la página de asignación de dominios.

  2. Actualiza el ConfigMap config-domainmapping para activar los certificados TLS administrados y HTTPS:

    kubectl patch cm config-domainmapping -n knative-serving -p '{"data":{"autoTLS":"Enabled"}}'
  3. Espera unos minutos después de que el comando se ejecute de forma correcta. Luego, asegúrate de que la función de certificados funcione:

    kubectl get kcert

    Si el certificado está listo, deberías ver un mensaje similar al siguiente:

    NAME              READY   REASON
    your-domain.com              True

    Es posible que transcurran entre 20 segundos y 2 minutos hasta que el Kcert esté listo. Si tienes algún problema, consulta las instrucciones para solucionar problemas de esta función.

Verifica si se realizó de forma correcta

  1. Ejecuta el siguiente comando para verificar que el registro DNS haya entrado en vigor:

    gcloud run domain-mappings describe --domain DOMAIN

    Reemplaza DOMAIN por el nombre de tu dominio, por ejemplo: your-domain.com.

  2. Verifica el campo url: en el resultado del comando anterior. La URL debe contener https, no http.

  3. Verifica la dirección IP del comando anterior, que aparece en resourceRecords:rrdata, y compárala con el valor que ves cuando ejecutas el comando host DOMAIN. Deberían ser iguales.

Habilita redireccionamientos HTTPS para Knative serving

Si usas la función de certificados TLS administrados, de forma predeterminada, el clúster se expone al tráfico HTTP y HTTPS por motivos de retrocompatibilidad. Si deseas forzar el uso de HTTPS en todo el tráfico, puedes habilitar los redireccionamientos a HTTPS para una asignación de dominio existente mediante la invocación del siguiente comando:

kubectl annotate domainmappings DOMAIN domains.cloudrun.com/httpsRedirect=Enabled

En el ejemplo anterior, DOMAIN es el nombre de la asignación de dominio.

  • Consulta Solución de problemas de TLS administrados para obtener información sobre cómo verificar las asignaciones de dominios, las cuotas de certificados, el estado y los tiempos de espera de pedidos, y los errores de autorización.
  • Consulta Usa tus propios certificados TLS si deseas obtener instrucciones para usar tus propios certificados TLS en lugar de los administrados.