Verwaltete TLS-Zertifikate und HTTPS verwenden

Auf dieser Seite wird erläutert, wie Sie verwaltete TLS-Zertifikate deaktivieren und wieder aktivieren. Dieses Feature stellt TLS-Zertifikate automatisch bereit und verlängert sie, um HTTPS-Verbindungen in Knative Serving zu unterstützen.

Wenn Sie HTTPS verwenden möchten, beachten Sie:

  • Ihr Container sollte weiterhin $PORT überwachen.

  • Sie müssen angeben, wie TLS-Zertifikate bereitgestellt werden sollen:

    • Verwenden Sie verwaltete TLS-Zertifikate, bei denen TLS-Zertifikate bei Bedarf automatisch erstellt und automatisch verlängert werden. Auf dieser Seite wird dieses Feature beschrieben, das für die unterstützten Google Kubernetes Engine-Versionen verfügbar ist.
    • Verwenden Sie eigene Zertifikate, bei denen Sie für die Anforderung und Verlängerung von Zertifikaten verantwortlich sind. In einigen Situationen, die unter Einschränkungen beschrieben werden, müssen Sie Ihre eigenen Zertifikate verwenden.

  • Wenn Sie verwaltete Zertifikate verwenden, müssen Sie außerdem Ihre benutzerdefinierte Domain zuordnen, um das Feature für verwaltete Zertifikate nutzen zu können.

HTTPS und HTTP verwenden

Wenn Sie verwaltete Zertifikate verwenden, sind Cluster oder Knative Serving-Dienste mit verwalteten Zertifikaten standardmäßig sowohl für HTTP- als auch für HTTPS-Traffic verfügbar. Wenn Sie nur HTTPS-Traffic verwenden möchten, können Sie HTTPS-Weiterleitungen aktivieren, um zu erzwingen, dass der gesamte Traffic nur HTTPS verwendet.

Fehlerbehebung

Wenn bei der Verwendung von verwalteten TLS-Zertifikaten Probleme auftreten, erhalten Sie weitere Informationen auf der Seite Fehlerbehebung für verwaltete TLS.

Beschränkungen

Die folgenden Überlegungen gelten für die Verwendung von verwalteten TLS-Zertifikaten:

  • Verwaltete TLS-Zertifikate werden für private Knative Serving-Cluster in Google Cloud nicht unterstützt und sind deaktiviert.
  • Damit verwaltete Zertifikate genutzt werden können, muss der Dienst extern verfügbar sein: Er darf weder ein lokal im Cluster vorhandener Dienst sein, noch ein Dienst, der mithilfe von Virtual Private Cloud verfügbar gemacht wird.
  • Verwaltete Zertifikate funktionieren nur mit Cloud Service Mesh. Das Istio-Add-on oder andere Istio-Konfigurationen werden nicht unterstützt.
  • Für dieses Feature wird LetsEncrypt verwendet. Hierfür gilt ein anfängliches Kontingentlimit von 50 TLS-Zertifikaten pro Woche und registrierter Domain. Wenn Sie eine Kontingenterhöhung wünschen, können Sie der Let’s Encrypt-Dokumentation folgen.
  • Wenn Sie einen Knative Serving-Cluster auf anderen Plattformen ausführen, etwa lokalen Plattformen oder AWS, ist dieses Feature deaktiviert. Damit Sie dieses Feature verwenden können, muss Ihr Cluster auf Let’s Encrypt zugreifen können und Ihr Cloud Service Mesh-Dienst für eingehenden Traffic über das öffentliche Internet zugänglich sein.

Vorbereitung

Bei den Anweisungen auf dieser Seite wird Folgendes vorausgesetzt:

Verwaltete TLS-Zertifikate und HTTPS für einen gesamten Cluster deaktivieren

Deaktivieren Sie verwaltete TLS für einen Cluster, indem Sie die ConfigMap config-domainmapping aktualisieren:

kubectl patch cm config-domainmapping -n knative-serving -p '{"data":{"autoTLS":"Disabled"}}'

Verwaltete TLS und HTTPS für eine bestimmte Domainzuordnung deaktivieren

Bei Bedarf können Sie verwaltete TLS für eine bestimmte Domainzuordnung deaktivieren:

  1. Fügen Sie die Annotation domains.cloudrun.com/disableAutoTLS: "true" hinzu:

    kubectl annotate domainmappings DOMAIN domains.cloudrun.com/disableAutoTLS=true

  2. Überprüfen Sie, ob HTTPS nicht funktioniert:

    curl https://DOMAIN

  3. Überprüfen Sie, ob HTTP für den Dienst verwendet wird:

    gcloud run domain-mappings describe --domain DOMAIN

    Ersetzen Sie DOMAIN durch Ihren eigenen Domainnamen. Beispiel: your-domain.com

    Überprüfen Sie das Feld url: in der Rückgabe des obigen Befehls: Die URL muss http enthalten, nicht https.

Verwaltete TLS-Zertifikate und HTTPS wieder aktivieren

So aktivieren Sie verwaltete TLS wieder:

  1. Falls noch nicht geschehen, erstellen Sie eine Domainzuordnung für Ihren Dienst und aktualisieren Sie Ihren DNS-Eintrag entsprechend der Anleitung auf der Seite „Domainzuordnung“.

  2. Aktivieren Sie verwaltete TLS-Zertifikate und HTTPS, indem Sie die ConfigMap config-domainmapping aktualisieren:

    kubectl patch cm config-domainmapping -n knative-serving -p '{"data":{"autoTLS":"Enabled"}}'

  3. Warten Sie nach erfolgreicher Ausführung des Befehls einige Minuten und prüfen Sie dann, ob das Zertifikatsfeature funktioniert:

    kubectl get kcert

    Wenn das Zertifikat bereit ist, sollte eine Meldung wie die folgende angezeigt werden:

    NAME              READY   REASON
your-domain.com              True

    Es kann 20 Sekunden bis 2 Minuten dauern, bis Kcert bereit ist. Falls Probleme auftreten, lesen Sie die Anleitung zur Fehlerbehebung für dieses Feature.

Erfolg überprüfen

  1. Überprüfen Sie mit dem folgenden Befehl, ob der DNS-Eintrag wirksam ist:

    gcloud run domain-mappings describe --domain DOMAIN

    Ersetzen Sie DOMAIN durch Ihren eigenen Domainnamen. Beispiel: your-domain.com

  2. Überprüfen Sie das Feld url: in der Rückgabe des obigen Befehls: Die URL muss https enthalten, nicht http.

  3. Überprüfen Sie die IP-Adresse aus dem obigen Befehl, die unter resourceRecords:rrdata aufgeführt ist, und vergleichen Sie sie mit dem Wert, den Sie sehen, wenn Sie den Befehl host DOMAIN ausführen. Sie müssen identisch sein.

HTTPS-Weiterleitungen für Knative Serving aktivieren

Wenn Sie das Feature für verwaltete TLS-Zertifikate verwenden, ist der Cluster aus Gründen der Abwärtskompatibilität standardmäßig sowohl für HTTP- als auch für HTTPS-Traffic verfügbar. Wenn Sie erzwingen möchten, dass der gesamte Traffic nur HTTPS verwendet, können Sie mit dem folgenden Befehl HTTPS-Weiterleitungen für eine vorhandene Domainzuordnung aktivieren:

kubectl annotate domainmappings DOMAIN domains.cloudrun.com/httpsRedirect=Enabled

Dabei ist DOMAIN der Name der Domainzuordnung.