Utiliser des certificats TLS gérés et HTTPS

Cette page explique comment désactiver et réactiver la fonctionnalité de certificats TLS gérés qui fournit et renouvelle automatiquement les certificats TLS afin d'accepter les connexions HTTPS sur Cloud Run for Anthos

Si vous souhaitez utiliser HTTPS :

  • Votre conteneur doit continuer à écouter sur le port $PORT.
  • Vous devez choisir la manière dont vous fournissez les certificats TLS :

    • Utiliser des certificats TLS gérés : dans ce cas, les certificats TLS sont créés automatiquement si nécessaire, et ils sont également renouvelés automatiquement. La présente page décrit cette fonctionnalité, qui est disponible dans les versions Google Kubernetes Engine compatibles.
    • Utiliser vos propres certificats : dans ce cas, il vous incombe d'obtenir et de renouveler des certificats. Dans certains contextes, décrits dans la section Limites, vous devez utiliser vos propres certificats.
  • Si vous utilisez des certificats gérés, vous devez également mapper votre domaine personnalisé afin d'utiliser la fonctionnalité de certificats gérés.

Utiliser HTTPS et HTTP

Par défaut, si vous utilisez des certificats gérés, les clusters ou les services Cloud Run for Anthos avec certificats gérés sont exposés au trafic HTTP et HTTPS. Si vous souhaitez autoriser uniquement le trafic HTTPS, vous pouvez activer les redirections HTTPS pour forcer l'ensemble du trafic à utiliser HTTPS.

Dépannage

Si vous rencontrez des problèmes lors de l'utilisation de certificats TLS gérés, consultez la page Résoudre les problèmes liés aux certificats TLS gérés.

Limites

Les points suivants doivent être pris en compte pour l'utilisation de la fonctionnalité de certificats TLS gérés :

  • Les certificats TLS gérés sont désactivés et ne sont pas compatibles avec les clusters privés Cloud Run for Anthos sur Google Cloud.
  • Pour utiliser la fonctionnalité de certificats gérés, votre service doit être exposé en externe : il ne peut pas s'agir d'un service local au cluster ni d'un service exposé par le cloud privé virtuel.
  • La fonctionnalité de certificats gérés ne fonctionne automatiquement avec Istio que lorsque vous configurez votre cluster pour Cloud Run for Anthos : elle ne fonctionne pas avec le module complémentaire Istio, ni avec d'autres configurations Istio. Si vous devez utiliser le module complémentaire Istio, vous devrez peut-être utiliser vos propres certificats TLS.
  • Cette fonctionnalité utilise Let's Encrypt, dont la limite de quota initiale est de 50 certificats TLS par semaine et par domaine enregistré. Vous pouvez demander une augmentation du quota en suivant la documentation de Let's Encrypt.
  • Lorsque vous exécutez un cluster Cloud Run pour Anthos sur d'autres plates-formes, telles qu'une plate-forme sur site ou AWS, cette fonctionnalité est désactivée. Pour utiliser cette fonctionnalité, vous devez vous assurer que votre cluster peut accéder à Let's Encrypt et que votre service d'entrée Istio (service istio-ingress sous gke-system) est exposé à l'Internet public.
  • Lorsque vous mappez des domaines, vous ne pouvez pas utiliser un nom de mappage de domaine identique à l'URL du service dans lequel vous effectuez le mappage si vous utilisez des certificats gérés. Par exemple, si l'URL de votre service est test.default.example.com, vous ne pouvez pas définir le nom DomainMapping sur test.default.example.com.

Avant de commencer

Les instructions figurant sur cette page présupposent ce qui suit :

Versions de cluster compatibles

Pour les versions 1.17.7-gke.15 et ultérieures, les certificats gérés sont activés par défaut pour les clusters publics sur Google Cloud.

Pour les versions de cluster suivantes, la fonctionnalité de certificats gérés est désactivée par défaut. Vous pouvez toutefois activer les certificats gérés si vous souhaitez les utiliser :

  • 1.16.0
  • 1.15.7-gke.23
  • 1.14.10-gke.17
  • 1.14.9-gke.23
  • 1.14.8-gke.33

Pour déterminer la version actuelle de votre cluster, procédez comme suit :

  1. Accédez à la page Kubernetes Engine dans la console Google Cloud.

    Accéder à Google Kubernetes Engine

  2. Cliquez sur le cluster pour accéder à sa page d'informations.

  3. Recherchez la version du cluster à côté du libellé Version maître.

Désactiver les certificats TLS gérés et HTTPS pour l'intégralité d'un cluster

Pour désactiver les certificats TLS gérés pour un cluster, mettez à jour le fichier ConfigMap config-domainmapping :

kubectl patch cm config-domainmapping -n knative-serving -p '{"data":{"autoTLS":"Disabled"}}'

Désactiver les certificats TLS gérés et HTTPS pour un mappage de domaine spécifique

Si nécessaire, vous pouvez désactiver la fonctionnalité de certificats TLS gérés pour un mappage de domaine spécifique :

  1. Ajoutez l'annotation domains.cloudrun.com/disableAutoTLS: "true" :

    kubectl annotate domainmappings DOMAIN domains.cloudrun.com/disableAutoTLS=true
  2. Vérifiez que le protocole HTTPS ne fonctionne pas:

    curl https://DOMAIN

  3. Assurez-vous que le protocole HTTP est utilisé pour le service :

    gcloud run domain-mappings describe --domain DOMAIN

    Remplacez DOMAIN par votre propre nom de domaine, par exemple example.com.

    Vérifiez le champ url: dans le résultat de la commande ci-dessus : l'URL doit afficher http, et non https.

Réactiver les certificats TLS gérés et HTTPS

Pour réactiver la fonctionnalité de certificats TLS gérés, procédez comme suit :

  1. Si vous ne l'avez pas déjà fait, créez un mappage de domaine pour votre service et mettez à jour votre enregistrement DNS en suivant les instructions de la page concernant le mappage de domaines.

  2. Activez les certificats TLS gérés et HTTPS en mettant à jour le fichier ConfigMap config-domainmapping :

    kubectl patch cm config-domainmapping -n knative-serving -p '{"data":{"autoTLS":"Enabled"}}'
  3. Attendez quelques minutes que la commande aboutisse, puis assurez-vous que la fonctionnalité de certificats est opérationnelle :

    kubectl get kcert

    Si le certificat est prêt, un message de ce type doit s'afficher :

    NAME              READY   REASON
    example.com       True

    Il peut s'écouler entre 20 secondes et 2 minutes avant que le certificat Kcert ne soit prêt. Si vous rencontrez des problèmes, consultez les instructions de dépannage concernant cette fonctionnalité.

Vérifier la réussite de l'opération

  1. Vérifiez que l'enregistrement DNS est activé en exécutant la commande suivante :

    gcloud run domain-mappings describe --domain DOMAIN

    Remplacez DOMAIN par votre propre nom de domaine, par exemple example.com.

  2. Vérifiez le champ url: dans le résultat de la commande ci-dessus : l'URL doit afficher https, et non http.

  3. Vérifiez l'adresse IP dans la commande ci-dessus, répertoriée sous resourceRecords:rrdata, et comparez-la à la valeur affichée lors de l'exécution de la commande host DOMAIN. Elles doivent être identiques.

Activer les redirections HTTPS pour Cloud Run for Anthos

Si vous utilisez la fonctionnalité de certificats TLS gérés, le cluster est par défaut exposé au trafic HTTP et HTTPS pour des raisons de rétrocompatibilité. Si vous souhaitez forcer l'ensemble du trafic à utiliser HTTPS, vous pouvez activer les redirections HTTPS pour un mappage de domaine existant en appelant la commande suivante :

kubectl annotate domainmappings DOMAIN domains.cloudrun.com/httpsRedirect=Enabled

DOMAIN est le nom du mappage de domaine.