このチュートリアルでは、Cloud Load Balancing 証明書を Certificate Manager に移行する方法について説明します。Cloud Load Balancing 証明書の詳細については、Cloud Load Balancing ドキュメントの SSL 証明書の概要をご覧ください。
ダウンタイムなしで Cloud Load Balancing 証明書を移行するには、まず移行する証明書を特定します。次に、Cloud Load Balancing 証明書と同じ数の Google マネージド証明書を作成します。次に、証明書を 1 つの証明書マップに統合し、別のロードバランサで証明書マップをテストします。テストが成功したら、Cloud Load Balancing 証明書をホストするターゲット ロードバランサに証明書マップをアタッチします。
サポートされているロードバランサの一覧については、Certificate Manager の概要をご覧ください。
目標
このチュートリアルでは、次のタスクを行う方法を説明します。
- 移行するターゲット ロードバランサの証明書を特定します。
- Google マネージド証明書を作成します。
- 証明書マップと証明書マップエントリを作成します。
- 別のロードバランサで証明書マップをテストします。
- 証明書マップをターゲット ロードバランサに添付します。
始める前に
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine, Certificate Manager APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine, Certificate Manager APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
必要なロール
このチュートリアルのタスクを完了するための次のロールがあることを確認してください。
- Certificate Manager オーナー(
roles/certificatemanager.owner
): Certificate Manager リソースの作成と管理に必要です。 - Compute ロードバランサ管理者(
roles/compute.loadBalancerAdmin
)または Compute ネットワーク管理者(roles/compute.networkAdmin
): HTTPS ターゲット プロキシの作成と管理に必要です。
- DNS 管理者(
roles/dns.admin
): DNS ソリューションとして Cloud DNS を使用する場合に必要です。
詳しくは以下をご覧ください。
- Certificate Manager のロールと権限。
- Compute Engine の Compute Engine の IAM ロールと権限。
- Cloud DNS のロールと権限。
移行する証明書を特定する
移行する証明書を特定する手順は次のとおりです。
ロードバランサで、ターゲット プロキシの名前を確認します。
移行する証明書を特定します。
ターゲット プロキシに接続されている証明書を確認するには、次のコマンドを実行します。
gcloud compute target-https-proxies describe TARGET_PROXY_NAME
TARGET_PROXY_NAME
は、ターゲット プロキシの名前に置き換えます。出力は次のようになります。
creationTimestamp: '2021-10-06T04:05:07.520-07:00' fingerprint: c9Txdx6AfcM= id: '365692570234384780' kind: compute#targetHttpsProxy name: my-proxy selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy sslCertificates: - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map
sslCertificates
フィールドに表示されている証明書の名前をメモします。詳細については、ターゲット プロキシの概要をご覧ください。-
gcloud compute ssl-certificates --project=PROJECT_ID describe LB_CERTIFICATE_NAME
次のように置き換えます。
PROJECT_ID
: Google Cloud プロジェクトの ID。LB_CERTIFICATE_NAME
: ロードバランサ証明書の名前。
出力は次のようになります。
certificate: | -----BEGIN CERTIFICATE----- MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63 ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5 cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499 iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b 9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9 NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9 WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw 9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8= -----END CERTIFICATE----- creationTimestamp: '2021-05-06T04:39:21.736-07:00' expireTime: '2022-06-07T01:10:34.000-07:00' id: '6422259403966690822' kind: compute#sslCertificate managed: domainStatus: a.my-domain1.example.com: ACTIVE b.my-domain2.example.com: ACTIVE domains: - a.my-domain1.example.com - b.my-domain2.example.com status: ACTIVE name: my-certificate selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate subjectAlternativeNames: - a. my-domain1.example.com - b. my-domain2.example.com type: MANAGED
Google マネージド証明書を作成する
ロードバランサ証明書と同じ数の Google マネージド証明書を作成します。グローバル ロードバランサまたは従来のロードバランサの場合はグローバル証明書を作成します。リージョン ロードバランサの場合はリージョン証明書を作成します。クロスリージョン ロードバランサの場合はクロスリージョン証明書を作成します。証明書を作成する前に、DNS 認証を作成し、ドメインの信頼できる DNS ゾーンに CNAME レコードを追加します。
DNS 認証を使用した Google マネージド証明書(推奨)またはセルフマネージド証明書を作成できます。
このセクションでは、グローバル Google マネージド証明書を作成する手順とコマンドについて説明します。リージョンまたはクロスリージョンの Google マネージド証明書を作成するには、Google マネージド証明書を作成するをご覧ください。
DNS 認証を作成する
DNS 認証は 1 つのドメイン名のみを対象とします。ターゲット証明書で使用するドメイン名ごとに個別の DNS 認証を作成する必要があります。
*.myorg.example.com
などのワイルドカード証明書用の DNS 認証を作成する場合は、親ドメイン(myorg.example.com
など)の DNS 認証を構成します。
コンソール
DNS 認証を作成することも、証明書の作成時に既存の DNS 認証をアタッチすることもできます。詳細については、DNS 認証を参照する Google マネージド証明書を作成するをご覧ください。
gcloud
DNS 認証を作成するには、certificate-manager
dns-authorizations create
コマンドを使用します。
gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \ --domain="DOMAIN_NAME"
次のように置き換えます。
AUTHORIZATION_NAME
: DNS 認証の名前。DOMAIN_NAME
: この DNS 承認を作成するターゲット ドメインの名前。ドメイン名は完全修飾ドメイン名(myorg.example.com
など)にする必要があります。
グローバル Google マネージド証明書は、デフォルトの DNS 認証タイプとして FIXED_RECORD
を使用します。PER_PROJECT_RECORD
DNS 認証を使用するには、次のコマンドを実行します。
gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \ --domain="DOMAIN_NAME" \ --type="PER_PROJECT_RECORD"
DNS 認証を作成したら、certificate-manager dns-authorizations describe
コマンドで確認します。
gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME \
出力は次のようになります。出力で dnsResourceRecord
行を見つけて、CNAME
レコード(data
、name
、type
)を取得し、DNS 構成に追加します。
createTime: '2022-01-14T13:35:00.258409106Z' dnsResourceRecord: data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. name: _acme-challenge.myorg.example.com. type: CNAME domain: myorg.example.com name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization updateTime: '2022-01-14T13:35:01.571086137Z'
Terraform
DNS 認証を作成するには、google_certificate_manager_dns_authorization
リソースを使用します。
Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。
API
DNS 認証を作成するには、dnsAuthorizations.create
メソッドに POST
リクエストを送信します。
POST /v1/projects/PROJECT_ID/locations/global/dnsAuthorizations?dns_authorization_id=AUTHORIZATION_NAME" { "domain": "DOMAIN_NAME", "type": "PER_PROJECT_RECORD" //optional }
次のように置き換えます。
PROJECT_ID
: Google Cloud プロジェクトの ID。AUTHORIZATION_NAME
: DNS 認証の名前。DOMAIN_NAME
: この DNS 承認を作成するターゲット ドメインの名前。ドメイン名は完全修飾ドメイン名(myorg.example.com
など)にする必要があります。
DNS 認証を参照する Google マネージド証明書を作成する
前の手順で作成した DNS 認証を参照するグローバル Google マネージド証明書を作成するには、次の操作を行います。
コンソール
Google Cloud コンソールで、[Certificate Manager] ページに移動します。
[証明書] タブで、[証明書を追加] をクリックします。
[証明書名] フィールドに、証明書の一意の名前を入力します。
省略可: [説明] フィールドに証明書の説明を入力します。説明で証明書を識別できます。
[ロケーション] で [グローバル] を選択します。
[範囲] で [デフォルト] を選択します。
[証明書の種類] で [Google マネージド証明書を作成する] を選択します。
[Certificate Authority type] で [Public] を選択します。
[ドメイン名] フィールドに、証明書のドメイン名をカンマ区切りで指定します。各ドメイン名は完全修飾ドメイン名(
myorg.example.com
など)にする必要があります。ドメイン名は、ワイルドカード ドメイン名(*.example.com
など)にすることもできます。[認証タイプ] で [DNS 認証] を選択します。
このページには、ドメイン名の DNS 認証が一覧表示されます。ドメイン名に DNS 認証が関連付けられていない場合は、次の手順で作成します。
- [見つからない DNS 認証の作成] をクリックします。
- [DNS 認証名] フィールドに、DNS 認証の名前を指定します。デフォルトの DNS 認証タイプは
FIXED_RECORD
です。プロジェクトごとの DNS 認証を使用するには、[プロジェクトごとの認証] チェックボックスをオンにします。 - [DNS 認証を作成] をクリックします。
[ラベル] フィールドで、証明書に関連付けるラベルを指定します。ラベルを追加するには、[
ラベルを追加] をクリックして、ラベルのキーと値を指定します。[作成] をクリックします。
新しい証明書が証明書のリストに表示されます。
gcloud
DNS 認証を使用してグローバル Google マネージド証明書を作成するには、dns-authorizations
フラグを指定して certificate-manager certificates create
コマンドを実行します。
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAME, *.DOMAIN_NAME" \ --dns-authorizations="AUTHORIZATION_NAMES"
次のように置き換えます。
CERTIFICATE_NAME
: 証明書の名前。DOMAIN_NAME
: ターゲット ドメインの名前。ドメイン名は完全修飾ドメイン名(myorg.example.com
など)またはワイルドカード ドメイン(*.myorg.example.com
など)にする必要があります。アスタリスク ドットの接頭辞(*.)
は、ワイルドカード証明書を示します。AUTHORIZATION_NAMES
: 証明書用に作成した DNS 承認の名前のカンマ区切りリスト。
Terraform
API
次のように、certificates.create
メソッドに POST
リクエストを送信して証明書を作成します。
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME { "managed": { "domains": ["DOMAIN_NAME"], "dnsAuthorizations": [ "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME", ], } }
次のように置き換えます。
PROJECT_ID
: Google Cloud プロジェクトの ID。CERTIFICATE_NAME
: 証明書の名前。DOMAIN_NAME
: ターゲット ドメインの名前。ドメイン名は完全修飾ドメイン名(myorg.example.com
など)またはワイルドカード ドメイン(*.myorg.example.com
など)にする必要があります。アスタリスク ドット接頭辞(*.)は、ワイルドカード証明書を示します。AUTHORIZATION_NAMES
: DNS 承認の名前のカンマ区切りのリスト。
DNS 構成に CNAME レコードを追加する
サードパーティの DNS ソリューションを使用して DNS を管理している場合は、そのドキュメントを参照して CNAME レコードを DNS 構成に追加します。Google Cloud を使用して DNS を管理している場合は、このセクションの手順に沿って操作します。
コンソール
レコードセットを作成する手順は次のとおりです。
Google Cloud コンソールで、[DNS ゾーン] ページに移動します。
レコードを追加する DNS ゾーンの名前をクリックします。
[ゾーンの詳細] ページで、[標準を追加] をクリックします。
[レコードセットの作成] ページの [DNS 名] フィールドに、DNS ゾーンのサブドメインを入力します。
サブドメイン名を入力する際は、[DNS 名] フィールドに表示されるグレー表示のテキストを含むサブドメイン名が、
gcloud certificate-manager dns-authorizations describe
コマンドの出力に表示されるdnsResourceRecord.name
フィールドの完全な値と一致していることを確認します。次の例をご覧ください。
dnsResourceRecord.name
フィールドの値が_acme-challenge.myorg.example.com.
で、[DNS 名] フィールドのグレー表示のテキストが.example.com.
の場合は、_acme-challenge.myorg
を入力します。dnsResourceRecord.name
フィールドの値が_acme-challenge.myorg.example.com.
で、[DNS 名] フィールドのグレー表示のテキストが.myorg.example.com.
の場合は、_acme-challenge
を入力します。dnsResourceRecord.name
フィールドの値が_acme-challenge_ujmmovf2vn55tgye.myorg.example.com.
で、[DNS 名] フィールドのグレー表示のテキストが.myorg.example.com.
の場合は、_acme-challenge_ujmmovf2vn55tgye
を入力します。
[リソース レコードのタイプ] フィールドで [CNAME] を選択します。
[TTL] フィールドに、リソース レコードの有効期間を正の整数値で入力します。これはキャッシュに保存できる時間です。
[TTL ユニット] リストから、時間の単位(例:
30 minutes
)を選択します。[Canonical name] フィールドに、
gcloud certificate-manager dns-authorizations describe
コマンドの出力に表示されているdnsResourceRecord.data
フィールドの完全な値を入力します。追加情報を入力するには、[項目を追加] をクリックします。
[作成] をクリックします。
gcloud
DNS 認証を作成するとき、gcloud CLI コマンドは対応する CNAME レコードを返します。ターゲット ドメインの DNS ゾーンの DNS 構成に CNAME レコードを追加する手順は次のとおりです。
DNS レコード トランザクションを次のように開始します。
gcloud dns record-sets transaction start --zone="DNS_ZONE_NAME"
DNS_ZONE_NAME
は、ターゲット DNS ゾーンの名前に置き換えます。CNAME レコードをターゲット DNS ゾーンに追加します。
gcloud dns record-sets transaction add CNAME_RECORD \ --name="VALIDATION_SUBDOMAIN_NAME.DOMAIN_NAME." \ --ttl="30" \ --type="CNAME" \ --zone="DNS_ZONE_NAME"
次のように置き換えます。
CNAME_RECORD
: 対応する DNS 認証を作成した Google Cloud CLI コマンドによって返される CNAME レコードの完全なデータ値。VALIDATION_SUBDOMAIN_NAME
: DNS ゾーンの接頭辞サブドメイン(_acme-challenge
など)。DNS 認証を作成するの説明に従って、gcloud certificate-manager dns-authorizations describe
コマンドログから名前をコピーできます。DOMAIN_NAME
: ターゲット ドメインの名前。ドメイン名は完全修飾ドメイン名(myorg.example.com
など)にする必要があります。また、ターゲット ドメイン名の後にピリオドを含める必要があります。DNS_ZONE_NAME
: ターゲット DNS ゾーンの名前。
次の例をご覧ください。
gcloud dns record-sets transaction add 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. \ --name="_acme-challenge.myorg.example.com." \ --ttl="30" \ --type="CNAME" \ --zone="myorg-example-com"
DNS レコード トランザクションを実行して変更を保存します。
gcloud dns record-sets transaction execute --zone="DNS_ZONE_NAME"
DNS_ZONE_NAME
は、ターゲット DNS ゾーンの名前に置き換えます。
Terraform
DNS 構成に CNAME レコードを追加するには、google_dns_record_set
リソースを使用します。
証明書のステータスを確認する
証明書をロードバランサにデプロイする前に、証明書が有効であることを確認します。証明書の状態が ACTIVE
に変わるまでに数分かかることがあります。
コンソール
Google Cloud コンソールで、[Certificate Manager] ページに移動します。
[証明書] タブで、証明書の [ステータス] 列を確認します。
gcloud
証明書のステータスを確認するには、次のコマンドを実行します。
gcloud certificate-manager certificates describe CERTIFICATE_NAME
CERTIFICATE_NAME
は、ターゲット Google マネージド証明書の名前に置き換えます。
出力は次のようになります。
createTime: '2021-10-20T12:19:53.370778666Z' expireTime: '2022-05-07T05:03:49Z' managed: authorizationAttemptInfo: - domain: myorg.example.com state: AUTHORIZED dnsAuthorizations: - projects/myProject/locations/global/dnsAuthorizations/myCert domains: - myorg.example.com state: ACTIVE name: projects/myProject/locations/global/certificates/myCert pemCertificate: | -----BEGIN CERTIFICATE----- [...] -----END CERTIFICATE----- sanDnsnames: - myorg.example.com updateTime: '2021-10-20T12:19:55.083385630Z'
数時間経っても証明書のステータスが ACTIVE
にならない場合は、CNAME
レコードが DNS 構成に正しく追加されていることを確認します。
その他のトラブルシューティングの手順については、Certificate Manager のトラブルシューティングをご覧ください。
証明書マップを作成する
証明書をグローバル外部アプリケーション ロードバランサにデプロイするには、証明書マップを作成します。
gcloud certificate-manager maps create CERTIFICATE_MAP_NAME
次のように置き換えます。
CERTIFICATE_MAP_NAME
: 証明書マップの名前。
証明書マップエントリを作成する
証明書をグローバル外部アプリケーション ロードバランサにデプロイするには、証明書マップ エントリを作成します。
移行する証明書ごとに、次のように証明書を参照する証明書マップエントリを作成します。
証明書の詳細を取得します。
ログで、
subjectAlternativeNames
フィールドにリストされているドメインごとに、そのドメインを対象とする証明書マップエントリを作成します。1 つのドメインを複数の証明書がカバーしている場合は、証明書マップエントリを 1 つだけ作成し、そのドメインをカバーする有効な証明書を使用します。gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME" \ --certificates="CERTIFICATE_NAMES" \ --hostname="HOSTNAME"
次のように置き換えます。
CERTIFICATE_MAP_ENTRY_NAME
: 証明書マップエントリの名前。CERTIFICATE_MAP_NAME
: 証明書マップエントリが接続されている証明書マップの名前。CERTIFICATE_NAMES
: この証明書マップエントリに関連付ける証明書の名前のカンマ区切りリスト。HOSTNAME
: 証明書マップエントリに関連付けるホスト名。
省略可: プロキシに最初に添付された証明書のリストから最初の証明書に対応する証明書を参照するプライマリ証明書マップエントリを作成します。
gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME" \ --certificates="CERTIFICATE_NAMES" \ --set-primary
次のように置き換えます。
CERTIFICATE_MAP_ENTRY_NAME
: 証明書マップエントリの名前。CERTIFICATE_MAP_NAME
: 証明書マップエントリが接続されている証明書マップの名前。CERTIFICATE_NAMES
: この証明書マップエントリに関連付ける証明書の名前のカンマ区切りリスト。
作成した各証明書マップエントリのアクティブな状態を確認するには、次のコマンドを実行します。
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
次のように置き換えます。
CERTIFICATE_MAP_ENTRY_NAME
: 証明書マップエントリの名前。CERTIFICATE_MAP_NAME
: 証明書マップエントリが接続されている証明書マップの名前。
出力は次のようになります。
certificates: - projects/my-project/locations/global/certificates/my-certificate createTime: '2021-09-06T10:01:56.229472109Z' hostname: example.com name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry state: ACTIVE updateTime: '2021-09-06T10:01:58.277031787Z'
省略可: 新しいロードバランサで構成をテストする
ダウンタイムを最小限に抑えるために、新しく構成した証明書マップを本番環境のトラフィックを処理しない新しいロードバランサでテストすることをおすすめします。これにより、本番環境での移行を続行する前に、エラーを検出して解決できます。
次のように構成をテストします。
新しいターゲット プロキシを使用してグローバル ロードバランサを作成します。ロードバランサを作成するには、次のページをご覧ください。
グローバル外部アプリケーション ロードバランサを作成するには、VM インスタンス グループのバックエンドを使用してグローバル外部アプリケーション ロードバランサを設定するをご覧ください。
グローバル外部プロキシ ネットワーク ロードバランサ(SSL プロキシ)を作成するには、VM インスタンス グループのバックエンドを使用してグローバル外部プロキシ ネットワーク ロードバランサ(SSL プロキシ)を設定するをご覧ください。
グローバル外部プロキシ ネットワーク ロードバランサ(TCP プロキシ)を作成するには、VM インスタンス グループのバックエンドを使用してグローバル外部プロキシ ネットワーク ロードバランサ(TCP プロキシ)を設定するをご覧ください。
新しいロードバランサのターゲット プロキシに証明書マップを添付します。
gcloud compute target-https-proxies create TEST_PROXY_NAME \ --certificate-map="CERTIFICATE_MAP_NAME" \ --global
次のように置き換えます。
TEST_PROXY_NAME
: テスト ターゲット プロキシの名前。CERTIFICATE_MAP_NAME
: 証明書マップエントリを参照する証明書マップの名前と、関連する証明書。
移行に含まれるターゲット ドメインごとに、新しいロードバランサの IP アドレスでドメインへの接続をテストします。
openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
次のように置き換えます。
DOMAIN_NAME
: ターゲット ドメインの名前。IP_ADDRESS
: 新しいロードバランサの IP アドレス。
接続のテストの詳細については、OpenSSL でテストするをご覧ください。
テスト環境をクリーンアップする
前の手順で作成したテスト環境をクリーンアップします。
ロードバランサの削除で説明されているように、テスト用ロードバランサを削除します。
前の手順で作成した証明書、証明書マップ、証明書マップエントリは削除しないでください。
新しい証明書マップをターゲット ロードバランサに適用する
新しい証明書構成をテストして有効であることを確認したら、次の手順で新しい証明書マップをターゲット ロードバランサ(証明書をホストするロードバランサ)に適用します。
グローバル ロードバランサを使用している場合は、証明書マップを新しいロードバランサのターゲット プロキシに接続します。
gcloud compute target-https-proxies update TARGET_PROXY_NAME \ --certificate-map="CERTIFICATE_MAP_NAME" \ --global
次のように置き換えます。
TARGET_PROXY_NAME
: ターゲット プロキシの名前CERTIFICATE_MAP_NAME
: 証明書マップエントリと関連する証明書を参照する証明書マップの名前。
構成の変更が適用され、ロードバランサが新しい証明書の提供を開始するまで待ちます。通常は数分で完了しますが、最長で 30 分ほどかかることがあります。
証明書は移行されています。トラフィックに問題がある場合は、新しい証明書マップをターゲット プロキシから切断します。これにより、ロードバランサが元の構成に戻ります。