교차 리전 자체 관리형 인증서 배포

이 튜토리얼에서는 인증서 관리자를 사용하여 전역 자체 관리형 인증서를 리전 간 내부 애플리케이션 부하 분산기에 배포하는 방법을 보여줍니다.

전역 외부 부하 분산기 또는 리전 부하 분산기에 배포하려면 다음을 참고하세요.

인증서 관리자에 자체 관리형 인증서 업로드

인증서를 인증서 관리자에 업로드하려면 다음을 수행합니다.

콘솔

  1. Google Cloud 콘솔에서 인증서 관리자 페이지로 이동합니다.

    인증서 관리자로 이동

  2. 인증서 탭에서 인증서 추가를 클릭합니다.

  3. 인증서 이름 필드에 인증서의 고유한 이름을 입력합니다.

  4. 선택사항: 설명 필드에 인증서에 대한 설명을 입력합니다. 설명을 통해 인증서를 식별할 수 있습니다.

  5. 위치에서 전역을 선택합니다.

  6. 범위에서 모든 리전을 선택합니다.

  7. 인증서 유형에서 자체 관리형 인증서 만들기를 선택합니다.

  8. 인증서 필드에서 다음 중 하나를 수행합니다.

    • 업로드 버튼을 클릭하고 PEM 형식의 인증서 파일을 선택합니다.
    • PEM 형식 인증서의 내용을 복사하여 붙여넣습니다. 내용은 -----BEGIN CERTIFICATE-----로 시작하고 -----END CERTIFICATE-----로 끝나야 합니다.

  9. 비공개 키 인증서 필드에서 다음 중 하나를 수행하세요.

    • 업로드 버튼을 클릭하고 비공개 키를 선택합니다. 비공개 키는 PEM 형식이어야 하며 암호로 보호되지 않습니다.
    • PEM 형식의 비공개 키 내용을 복사하여 붙여넣습니다. 비공개 키는 -----BEGIN PRIVATE KEY-----로 시작하고 -----END PRIVATE KEY-----로 끝나야 합니다.

  10. 라벨 필드에서 인증서와 연결할 라벨을 지정합니다. 라벨을 추가하려면 라벨 추가를 클릭하고 라벨의 키와 값을 지정합니다.

  11. 만들기를 클릭합니다.

    새 인증서가 인증서 목록에 표시됩니다.

gcloud

리전 간 자체 관리형 인증서를 만들려면 certificate-manager certificates create 명령어를 사용합니다.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --scope=all-regions

다음을 바꿉니다.

  • CERTIFICATE_NAME: 인증서의 이름입니다.
  • CERTIFICATE_FILE: CRT 인증서 파일의 경로와 파일 이름입니다.
  • PRIVATE_KEY_FILE: KEY 비공개 키 파일의 경로 및 파일 이름입니다.

Terraform

자체 관리형 인증서를 업로드하려면 self_managed 블록과 함께 google_certificate_manager_certificate 리소스를 사용하면 됩니다.

API

다음과 같이 certificates.create 메서드에 POST 요청을 전송하여 인증서를 만듭니다.

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: "ALL_REGIONS"
  }
}

다음을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트의 ID입니다.
  • CERTIFICATE_NAME: 인증서의 이름입니다.
  • PEM_CERTIFICATE: 인증서 PEM입니다.
  • PEM_KEY: 키 PEM입니다.

부하 분산기에 자체 관리형 인증서 배포

전역 자체 관리형 인증서를 배포하려면 대상 프록시에 직접 연결합니다.

대상 프록시에 인증서 직접 연결

새 대상 프록시 또는 기존 대상 프록시에 인증서를 연결할 수 있습니다.

인증서를 새 대상 프록시에 연결하려면 gcloud compute target-https-proxies create 명령어를 사용합니다.

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --global

다음을 바꿉니다.

  • PROXY_NAME: 대상 프록시 이름
  • URL_MAP: URL 맵의 이름입니다. 부하 분산기를 만들 때 URL 맵을 만들었습니다.
  • CERTIFICATE_NAME: 인증서의 이름입니다.

기존 대상 HTTPS 프록시에 인증서를 연결하려면 gcloud compute target-https-proxies update 명령어를 사용합니다. 기존 대상 프록시의 이름을 모르는 경우 대상 프록시 페이지로 이동하여 대상 프록시의 이름을 확인합니다.

gcloud compute target-https-proxies update PROXY_NAME \
    --global \
    --certificate-manager-certificates=CERTIFICATE_NAME

대상 프록시를 만들거나 업데이트한 후 다음 명령어를 실행하여 확인합니다.

gcloud compute target-https-proxies list

삭제

이 튜토리얼에서 사용한 리소스 비용이 Google Cloud 계정에 청구되지 않도록 하려면 업로드된 인증서를 삭제하세요.

gcloud certificate-manager certificates delete CERTIFICATE_NAME

CERTIFICATE_NAME을 대상 인증서의 이름으로 바꿉니다.

부하 분산기를 사용할 계획이 없다면 부하 분산기와 해당 리소스를 삭제합니다. 부하 분산 설정 삭제를 참고하세요.