Вопрос или проблема
Я планирую миграцию нашего управляемого экземпляра HAProxy на Глобальный внешний балансировщик нагрузки приложений в GCP. Поскольку нам нужно переключить производственный трафик, мы должны все настроить перед изменением DNS. Для этого мы готовим SSL-сертификаты.
Согласно Документации по сертификатам:
Управляемые Google сертификаты поддерживаются с следующими балансировщиками нагрузки:
- Глобальный внешний балансировщик нагрузки приложений
- Классический балансировщик нагрузки приложений
- Внешний прокси-балансировщик нагрузки сети (с целевым SSL-прокси)
Мы создали авторизацию DNS и активировали ее, затем создали два сертификата, один wildcard (*.somedomain.com) и третий уровень (someapp.somedomain.com), и оба они отмечены как Активные.
К сожалению, когда я создаю новый Глобальный внешний балансировщик нагрузки приложений, я не могу выбрать ни один из этих сертификатов. Мне разрешено выбирать только Классические сертификаты.
К сожалению, Классические сертификаты могут быть активированы, когда имя хоста совпадает с внешним DNS, и это требует простоя, который мы не можем себе позволить.
Есть ли какое-либо ограничение в моей учетной записи, или я что-то неправильно понял в документации? Почему я не могу выбрать сертификат, авторизованный через DNS, для моего балансировщика нагрузки?
Косвенный вопрос: Документация по SSL сертификатам о типах говорит:
Управляемые Google SSL сертификаты – это сертификаты, которые Google Cloud получает, управляет и автоматически обновляет. Управляемые сертификаты Google всегда являются сертификатами проверки домена (DV). Они не подтверждают личность организации или лица, связанного с сертификатом, и они не поддерживают общие имена wildcard.
Но на практике возможно создать сертификаты wildcard (см. выше).
У меня та же проблема, до сих пор не могу найти решение ….. есть какие-то новости?
Ответ или решение
Проблемы с выбором Google-управляемого SSL сертификата для Google Cloud Load Balancing
Вы сталкиваетесь с трудностью выбора Google-управляемых SSL сертификатов при настройке Global external Application Load Balancer в Google Cloud Platform (GCP). Давайте рассмотрим основные моменты, связанные с вашей ситуацией, а также возможные причины и решения данной проблемы.
Описание проблемы
Как вы указали, вы создали два сертификата: один — для поддомена (*.somedomain.com), другой — для третьего уровня (someapp.somedomain.com). Оба сертификата активны и правильно настроены с учетом DNS-авторизации. Однако при создании нового Global external Application Load Balancer вам не удается выбрать указанные Google-управляемые сертификаты — вы можете выбрать только классовые сертификаты.
Возможные причины
-
Поддержка Google-управляемых сертификатов: Как указано в документации Google Cloud, Google-управляемые сертификаты поддерживаются для Global external Application Load Balancer. Однако важно убедиться, что сертификаты правильно настроены и подтверждены.
-
Статус сертификатов: Хотя вы заявляете, что сертификаты активны, стоит перепроверить их статус в консоли GCP. Убедитесь, что они проходят все стадии проверки и действительны. Иногда это может занять некоторое время.
-
Региональная доступность: Убедитесь, что ваш Load Balancer действительно находится в глобальном режиме. Если вы по ошибке создаете локальный (региональный) Load Balancer, Google-управляемые сертификаты могут не отображаться в списке. Проверьте, правильно ли выбраны параметры при создании Load Balancer.
-
Политики доступа и ограничения: Иногда учетная запись может иметь определенные ограничения. Проверьте настройки IAM (Identity and Access Management), чтобы убедиться, что у вашей учетной записи есть необходимые разрешения для работы с Google-управляемыми сертификатами.
Рекомендации по устранению проблем
-
Перепроверка настройки: Убедитесь, что SSL-сертификаты правильно настроены в соответствии с документацией Google Cloud. Это включает проверку записи DNS и статус проверки домена.
-
Сохранение как черновик: Если вы не можете связываться с сертификатами в процессе создания Load Balancer, попробуйте создать его в виде черновика. После этого можно попробовать снова подключить сертификаты через интерфейс управления.
-
Контакты с поддержкой Google: Если проблема не решается, рекомендуется обратиться в техническую поддержку Google Cloud. Это даст возможность получить конкретные советы по вашей учетной записи и возможным ограничениям.
Повторная проверка компании Google по сертификатам
Отвечая на ваш дополнительный вопрос о возможности создания wildcard сертификатов, действительно, Google-управляемые сертификаты могут выглядеть так, как будто они поддерживают wildcard, но на практике это может не всегда соответствовать требованиям. К тому же, Google указывает на отсутствие поддержки для wildcard в контексте Google-управляемых сертификатов. Всегда следует основывать свои действия на официальной документации и уточнять имеющиеся ограничения.
Заключение
Справляясь с проблемой выбора Google-управляемых SSL сертификатов для вашего Load Balancer, важно удостовериться в правильной настройке всех элементов — от статуса сертификата до границ и разрешений вашей учетной записи. Это серьезный процесс, особенно при переходе на продакшн, и требует внимательного отношения. Не стесняйтесь обращаться к поддержке Google Cloud для получения более детальных указаний, особенно если ситуация не улучшается.