Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzo di certificati SSL gestiti da Google

Autopilot Standard

Questa pagina mostra come utilizzare gli oggetti Ingress per creare bilanciatori del carico esterni con certificati SSL gestiti da Google. Questi certificati sono certificati di convalida del dominio (DV) che Google fornisce, rinnova e gestisce per i tuoi nomi di dominio. Questi certificati non dimostrano la tua identità individuale o dell'organizzazione.

Per scoprire come creare certificati gestiti da Google con Google Cloud, consulta la pagina relativa ai certificati gestiti da Google.

I certificati SSL GKE gestiti da Google supportano cluster pubblici e privati.

Creazione di una risorsa Ingress con un certificato gestito da Google

Per configurare un certificato SSL gestito da Google e associarlo a un traffico in entrata, devi:

Crea un oggetto ManagedCertificate nello stesso spazio dei nomi dell'oggetto Ingress.
Associa l'oggetto ManagedCertificate a una risorsa Ingress aggiungendo l'annotazione networking.gke.io/managed-certificates alla risorsa Ingress. Questa annotazione è un elenco separato da virgole di ManagedCertificate oggetti.

Limitazioni

I certificati gestiti da Google sono meno flessibili di quelli ottenuti e gestiti autonomamente. I certificati gestiti da Google supportano fino a 100 domini senza caratteri jolly. A differenza dei certificati autogestiti, quelli gestiti da Google non supportano i domini con caratteri jolly.

Se hai bisogno di certificati autogestiti o se possiedi già certificati SSL che vuoi configurare nella tua risorsa Ingress, consulta Configurazione di HTTPS (TLS) tra client e bilanciatore del carico.

Il numero e il tipo di certificati supportati da una risorsa Ingress sono definiti dai limiti dei certificati SSL gestiti da Google.

Gli aggiornamenti sui certificati gestiti da Google non sono supportati. Per ulteriori informazioni, consulta Aggiornare manualmente un certificato gestito da Google.

Se il certificato viene revocato direttamente dall'autorità di certificazione, Google non lo ruota automaticamente. Devi eliminare ManagedCertificate e crearne uno nuovo.

Prerequisiti

Devi essere il proprietario del nome di dominio. Il nome di dominio non deve contenere più di 63 caratteri. Puoi utilizzare Google Domains o un altro registrar.
Se utilizzi un cluster GKE Standard, il componente aggiuntivo HttpLoadBalancing deve essere abilitato.
Il valore di ingressClassName deve essere "gce".
Devi applicare risorse Ingress e ManagedCertificate nello stesso progetto e spazio dei nomi.
Crea un indirizzo IP esterno riservato (statico). La prenotazione di un indirizzo IP statico garantisce che rimanga tuo, anche se elimini il traffico in entrata. Se non prenoti un indirizzo IP, questo potrebbe cambiare e chiederti di riconfigurare i record DNS del dominio. Utilizza Google Cloud CLI o la console Google Cloud per creare un indirizzo IP riservato.
gcloud
Per creare un indirizzo IP riservato, esegui questo comando:
```
gcloud compute addresses create ADDRESS_NAME --global
```
Sostituisci ADDRESS_NAME con il nome dell'indirizzo IP riservato che stai creando.

Per trovare l'indirizzo IP statico che hai creato, esegui questo comando:
```
gcloud compute addresses describe ADDRESS_NAME --global
```
L'output è simile al seguente:
```
address: 203.0.113.32
...
```
Console
Per creare un indirizzo IP riservato, segui questi passaggi:
1. Vai alla pagina Indirizzi IP esterni nella console Google Cloud.
  
  Vai a Indirizzi IP esterni
2. Specifica un nome per l'indirizzo IP (ad esempio, example-ip-address).
3. Specifica se vuoi un indirizzo IPv4 o IPv6.
4. Seleziona l'opzione Globale per Tipo.
5. Fai clic su Prenota. L'indirizzo IP è indicato nella colonna Indirizzo esterno.
Config Connector
Nota: questo passaggio richiede Config Connector. Segui le istruzioni di installazione per installare Config Connector sul tuo cluster.
```
apiVersion: compute.cnrm.cloud.google.com/v1beta1
kind: ComputeAddress
metadata:
  name: example-ip-address
spec:
  location: global
```
Per eseguire il deployment di questo manifest, scaricalo sulla tua macchina come compute-address.yaml ed esegui:
```
kubectl apply -f compute-address.yaml
```

Configurazione di un certificato gestito da Google

Crea un oggetto ManagedCertificate. Questa risorsa specifica i domini per il certificato SSL. I domini con caratteri jolly non sono supportati.

Il seguente manifest descrive un oggetto ManagedCertificate. Salva il file manifest come managed-cert.yaml.
```
apiVersion: networking.gke.io/v1
kind: ManagedCertificate
metadata:
  name: managed-cert
spec:
  domains:
    - FQDN_1
    - FQDN_2
```
Sostituisci quanto segue:
- FQDN_1, FQDN_2: nomi di dominio completi di tua proprietà. Ad esempio, example.com e www.example.com.
Applica il manifest al tuo cluster:
```
kubectl apply -f managed-cert.yaml
```
Crea un servizio di tipo NodePort per esporre la tua applicazione su internet.

Il seguente file manifest descrive un servizio di tipo NodePort. Salva il file manifest come mc-service.yaml.
```
apiVersion: v1
kind: Service
metadata:
  name: mc-service
spec:
  selector:
    app: mc-service
  type: NodePort
  ports:
    - protocol: TCP
      port: 80
      targetPort: 8080
```
Applica il manifest al tuo cluster:
```
kubectl apply -f mc-service.yaml
```
Nota: affinché questo oggetto ManagedCertificate diventi Active, devi associarlo a un oggetto Ingress. ManagedCertificate non deve essere già Active per poterlo collegare a una risorsa Ingress.

Crea una risorsa Ingress.

Il seguente manifest descrive una risorsa Ingress che utilizza il valore ManagedCertificate che hai creato. Salva il manifest con il nome managed-cert-ingress.yaml.

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: managed-cert-ingress
  annotations:
    kubernetes.io/ingress.global-static-ip-name: ADDRESS_NAME
    networking.gke.io/managed-certificates: managed-cert
    kubernetes.io/ingress.class:"gce"  # Updated annotation
spec:
  defaultBackend:
    service:
      name: mc-service
      port:
        number: SERVICE_PORT

Sostituisci quanto segue:

ADDRESS_NAME: il nome del tuo indirizzo IP riservato.
SERVICE_PORT: il valore di ports.port nel manifest del servizio.

Applica il manifest al tuo cluster:
```
kubectl apply -f managed-cert-ingress.yaml
```
Nota: potrebbero volerci diverse ore prima che Google Cloud esegua il provisioning del bilanciatore del carico e del certificato gestito e che il bilanciatore del carico inizi a utilizzare il nuovo certificato. Per maggiori informazioni, consulta Eseguire il deployment di un certificato gestito da Google con l'autorizzazione del bilanciatore del carico.
Ottieni l'indirizzo IP del bilanciatore del carico:
```
kubectl get ingress
```
L'output è simile al seguente:
```
NAME                 HOSTS       ADDRESS         PORTS     AGE
managed-cert-ingress   *         203.0.113.32     80       54s
```
L'indirizzo IP del bilanciatore del carico è elencato nella colonna ADDRESS. Se utilizzi un indirizzo IP statico riservato, questo sarà l'indirizzo del bilanciatore del carico.

Se l'indirizzo non è presente nell'elenco, attendi il completamento della configurazione di Ingress.
Configura i record DNS per i tuoi domini in modo che puntino all'indirizzo IP del bilanciatore del carico. Se utilizzi Cloud DNS, consulta Gestione dei record per maggiori dettagli.

Nota: prima di continuare, devi attendere la propagazione dei record DNS configurati.
Attendi il completamento del provisioning del certificato gestito da Google. L'operazione potrebbe richiedere fino a 60 minuti. Puoi controllare lo stato del certificato utilizzando il seguente comando:
```
kubectl describe managedcertificate managed-cert
```
L'output è simile al seguente:
```
Name:         managed-cert
Namespace:    default
Labels:       <none>
Annotations:  <none>
API Version:  networking.gke.io/v1
Kind:         ManagedCertificate
(...)
Spec:
 Domains:
   FQDN_1
   FQDN_2
Status:
 CertificateStatus: Active
(...)
```
Il valore del campo Status.CertificateStatus indica che è stato eseguito il provisioning del certificato. Se Status.CertificateStatus non è Active, non è stato ancora eseguito il provisioning del certificato.
Puoi controllare gli eventi su una risorsa Ingress utilizzando il seguente comando:
```
kubectl describe ingress INGRESS_NAME
```
Sostituisci INGRESS_NAME con il nome del tuo file Ingress.
Verifica che il protocollo SSL funzioni visitando i tuoi domini utilizzando il prefisso https://. Il browser indica che la connessione è sicura e puoi visualizzare i dettagli del certificato.

Migrazione a certificati gestiti da Google da certificati autogestiti

Quando esegui la migrazione di una risorsa Ingress da certificati SSL autogestiti a certificati SSL gestiti da Google, non eliminare alcun certificato SSL autogestito prima che i certificati SSL gestiti da Google siano attivi. Una volta eseguito il provisioning dei certificati SSL gestiti da Google, questi diventano attivi automaticamente. Quando i certificati SSL gestiti da Google sono attivi, puoi eliminarli autogestiti.

Segui queste istruzioni per eseguire la migrazione da certificati SSL autogestiti a quelli gestiti da Google.

Aggiungi un nuovo certificato gestito da Google a Ingress, come descritto nella sezione Configurare un certificato gestito da Google.
Attendi che lo stato della risorsa di certificato gestita da Google sia Attivo. Controlla lo stato del certificato con il comando seguente:
```
kubectl describe managedcertificate managed-cert
```
Se lo stato è Active, aggiorna il parametro Ingress per rimuovere i riferimenti al certificato autogestito.

Rimozione di un certificato gestito da Google

Per rimuovere un certificato gestito da Google dal cluster, devi eliminare l'oggetto ManagedCertificate e rimuovere l'annotazione Ingress che vi fa riferimento.

Elimina l'oggetto ManagedCertificate:

kubectl delete -f managed-cert.yaml

L'output è simile al seguente:

managedcertificate.networking.gke.io "managed-cert" deleted

Rimuovi l'annotazione da Ingress:

kubectl annotate ingress managed-cert-ingress networking.gke.io/managed-certificates-

Osserva il segno meno, -, alla fine del comando.

Rilascia l'indirizzo IP statico che hai prenotato per il bilanciatore del carico.

Puoi utilizzare Google Cloud CLI, la console Google Cloud o Config Connector per rilasciare un indirizzo IP riservato.
gcloud
Utilizza il seguente comando per rilasciare l'indirizzo IP riservato:
```
gcloud compute addresses delete ADDRESS_NAME --global
```
Sostituisci ADDRESS_NAME con il nome dell'indirizzo IP.
Console
Per rilasciare l'indirizzo IP riservato, segui questi passaggi:
1. Vai alla pagina Indirizzi IP esterni nella console Google Cloud.
  
  Vai a Indirizzi IP esterni
2. Seleziona la casella di controllo accanto all'indirizzo IP che vuoi rilasciare.
3. Fai clic su Rilascia indirizzo IP.
Config Connector
Nota: questo passaggio richiede Config Connector. Segui le istruzioni di installazione per installare Config Connector sul tuo cluster.
```
apiVersion: compute.cnrm.cloud.google.com/v1beta1
kind: ComputeAddress
metadata:
  name: example-ip-address
spec:
  location: global
```
Per eseguire il deployment di questo manifest, scaricalo sulla tua macchina come compute-address.yaml ed esegui:
```
kubectl delete -f compute-address.yaml
```

Risoluzione dei problemi

Questa sezione fornisce informazioni su come risolvere i problemi relativi ai certificati gestiti da Google.

Controlla gli eventi su `ManagedCertificate` e risorse Ingress

Se superi il numero di certificati consentiti, viene aggiunto un evento con un motivo TooManyCertificates a ManagedCertificate. Puoi controllare gli eventi in un oggetto ManagedCertificate utilizzando il seguente comando:

kubectl describe managedcertificate CERTIFICATE_NAME

Sostituisci CERTIFICATE_NAME con il nome del tuo ManagedCertificate.

Se colleghi un oggetto ManagedCertificate inesistente a una risorsa Ingress, alla risorsa viene aggiunto un evento con un motivo MissingCertificate. Puoi controllare gli eventi su un Ingress utilizzando il seguente comando:

kubectl describe ingress INGRESS_NAME

Sostituisci INGRESS_NAME con il nome del tuo file Ingress.

Non è stato eseguito il provisioning del certificato gestito quando il dominio si risolve in indirizzi IP di più bilanciatori del carico

Quando il tuo dominio si risolve in indirizzi IP di più bilanciatori del carico (più oggetti Ingress), devi creare un singolo oggetto ManagedCertificate e associarlo a tutti gli oggetti Ingress. Se invece crei molti oggetti ManagedCertificate e colleghi ciascuno di essi a una risorsa Ingress separata, l'autorità di certificazione potrebbe non essere in grado di verificare la proprietà del dominio e potrebbe non essere stato eseguito il provisioning di alcuni dei tuoi certificati. Affinché la verifica abbia esito positivo, il certificato deve essere visibile sotto tutti gli indirizzi IP in cui viene risolto il tuo dominio.

Nello specifico, quando il tuo dominio si risolve in indirizzi IPv4 e IPv6 configurati con oggetti Ingress diversi, devi creare un singolo oggetto ManagedCertificate e collegarlo a entrambe le risorse Ingress.

Interruzioni della comunicazione tra certificati gestiti da Google e Ingress

I certificati gestiti comunicano con Ingress tramite l'annotazione ingress.gcp.kubernetes.io/pre-shared-cert. Puoi interrompere questa comunicazione se, ad esempio:

Esegui un processo automatizzato che cancelli l'annotazione ingress.gcp.kubernetes.io/pre-shared-cert.
Archivia uno snapshot di Ingress, quindi elimina e ripristina Ingress dallo snapshot. Nel frattempo, una risorsa SslCertificate elencata nell'annotazione ingress.gcp.kubernetes.io/pre-shared-cert potrebbe essere stata eliminata. Il traffico in entrata non funziona se mancano certificati collegati.

In caso di interruzioni della comunicazione tra certificati gestiti da Google e Ingress, elimina i contenuti dell'annotazione ingress.gcp.kubernetes.io/pre-shared-cert e attendi che il sistema effettui la riconciliazione. Per impedire la ricorrenza, assicurati che l'annotazione non venga modificata o eliminata inavvertitamente.

Errori di convalida durante la creazione di un certificato gestito da Google

Le definizioni di ManagedCertificate vengono convalidate prima della creazione dell'oggetto ManagedCertificate. Se la convalida non va a buon fine, l'oggetto ManagedCertificate non viene creato e viene stampato un messaggio di errore. I diversi messaggi di errore e i motivi sono spiegati come segue:

`spec.domains in body should have at most 100 items`

Il manifest ManagedCertificate elenca più di 100 domini nel campo spec.domains. I certificati gestiti da Google supportano solo fino a 100 domini.

`spec.domains in body should match '^(([a-zA-Z0-9]+|[a-zA-Z0-9][-a-zA-Z0-9][a-zA-Z0-9])\.)+[a-zA-Z][-a-zA-Z0-9][a-zA-Z0-9]\.?$'`

Hai specificato un nome di dominio non valido o un nome di dominio con caratteri jolly nel campo spec.domains. L'oggetto ManagedCertificate non supporta i domini con caratteri jolly (ad esempio, *.example.com).

`spec.domains in body should be at most 63 chars long`

Hai specificato un nome di dominio troppo lungo. I certificati gestiti da Google supportano nomi di dominio con un massimo di 63 caratteri.

Aggiornamento manuale di un certificato gestito da Google

Per aggiornare manualmente il certificato in modo che il certificato per il vecchio dominio continui a funzionare fino a quando non viene eseguito il provisioning del certificato per il nuovo dominio, segui questi passaggi:

Crea un ManagedCertificate per il nuovo dominio.
Aggiungi il nome ManagedCertificate all'annotazione networking.gke.io/managed-certificates nell'oggetto Ingress utilizzando un elenco separato da virgole. Non rimuovere il nome del certificato precedente.
Attendi che ManagedCertificate diventi Attivo.
Scollega il vecchio certificato da Ingress ed eliminalo.

Quando crei un ManagedCertificate, Google Cloud crea un certificato SSL gestito da Google. Non puoi aggiornare questo certificato. Se aggiorni l'ManagedCertificate, Google Cloud elimina e ricrea il certificato SSL gestito da Google.

Per fornire un traffico Ingress sicuro criptato su HTTPS per i tuoi cluster GKE, vedi un esempio di Ingress sicuro.

Passaggi successivi

Scopri di più sui certificati gestiti da Google.
Scopri come configurare un Application Load Balancer esterno con Ingress.
Scopri come utilizzare più certificati SSL con bilanciatori del carico delle applicazioni esterni con Ingress.
Implementa un Ingress sicuro.