マネージド TLS 証明書と HTTPS の使用

このページでは、Knative serving で HTTPS 接続をサポートする TLS 証明書を自動的に提供および更新するマネージド TLS 証明書機能を無効にし、再び有効にする方法について説明します。

HTTPS を使用するには

コンテナが $PORT でリッスンし続ける必要があります
TLS 証明書を提供する方法として、次のいずれかを選択する必要があります。
- マネージド TLS 証明書を使用する。この場合、TLS 証明書が必要に応じて自動的に作成され、自動的に更新されます。この機能は、サポートされる Google Kubernetes Engine バージョンで利用可能です。このページではこの機能について説明します。
- 独自の証明書を使用する。この場合、証明書の取得と更新をご自分で行う必要があります。制限事項で説明している特定の状況では、独自の証明書を使用する必要があります。
マネージド証明書を使用する場合、マネージド証明書機能を使用するためにカスタムドメインのマッピングも必要になります。

HTTPS と HTTP の使用

マネージド証明書を使用する場合、デフォルトでは、マネージド証明書を使用するクラスタまたは Knative serving サービスが HTTP と HTTPS の両方のトラフィックに公開されます。HTTPS トラフィックだけに制限する必要がある場合は、HTTPS リダイレクトを有効にすると、すべてのトラフィックが HTTPS のみを使用するようになります。

トラブルシューティング

マネージド TLS 証明書の使用時に問題が発生した場合は、マネージド TLS のトラブルシューティングのページをご覧ください。

制限事項

マネージド TLS 証明書を使用する場合、次の点を考慮する必要があります。

Google Cloud 上の Knative serving 限定公開クラスタでは、マネージド TLS 証明書が無効になり、サポートされません。
マネージド証明書機能を使用するには、サービスを外部に公開する必要があります。クラスタローカルのサービスにしたり、Virtual Private Cloud で公開されるサービスにしたりすることはできません。
マネージド証明書機能は Cloud Service Mesh でのみ動作します。Istio アドオンやその他の Istio 構成はサポートされていません。
この機能は Let's Encrypt を使用しています。登録済みドメインごとの週あたりの TLS 証明書の初期割り当て上限は 50 です。Let's Encrypt のドキュメントの説明に沿って、割り当ての増加を依頼できます。
オンプレミスや AWS などの他のプラットフォームで Knative serving クラスタを実行する場合、この機能は無効になります。この機能を使用するには、クラスタが Let's Encrypt にアクセスでき、Cloud Service Mesh Ingress サービスが公共インターネットに公開されていることを確認する必要があります。

始める前に

このページで説明する手順は次のことを前提としています。

クラスタに Knative serving サービスをデプロイしている。
ドメインを所有している。ドメインをお持ちでない場合は、Google または別のドメインベンダーからドメインを取得します。
サービス用のドメインマッピングを作成し、ドメインマッピングページの手順に沿って DNS レコードを更新している。
Cloud DNS または任意の DNS サーバーを使用する。

クラスタ全体でマネージド TLS 証明書と HTTPS を無効にする

ConfigMap config-domainmapping を更新することで、クラスタに関するマネージド TLS を無効にします。

kubectl patch cm config-domainmapping -n knative-serving -p '{"data":{"autoTLS":"Disabled"}}'

特定のドメインマッピングに対してマネージド TLS と HTTPS を無効にする

必要に応じて、特定のドメインマッピングに対してマネージド TLS を無効にすることができます。

アノテーション domains.cloudrun.com/disableAutoTLS: "true" を追加します。
```
kubectl annotate domainmappings DOMAIN domains.cloudrun.com/disableAutoTLS=true
```
HTTPS が機能しないことを確認します。
```
curl https://DOMAIN
```
サービスで HTTP が使用されていることを確認します。
```
gcloud run domain-mappings describe --domain DOMAIN
```
DOMAIN は、独自のドメイン名に置き換えます。（例: your-domain.com）

上記のコマンドで返された url: フィールドを確認します（URL は https ではなく http である必要があります）。

マネージド TLS 証明書と HTTPS を再度有効にする

マネージド TLS を再度有効にするには:

サービスのドメインマッピングをまだ作成していない場合は、カスタムドメインのマッピングのページの手順に沿って DNS レコードを更新します。
ConfigMap config-domainmappingを更新して、マネージド TLS 証明書と HTTPS を有効にします。
```
kubectl patch cm config-domainmapping -n knative-serving -p '{"data":{"autoTLS":"Enabled"}}'
```
コマンドが正常に実行された後、数分待ってから、証明書機能が動作していることを次のように確認します。
```
kubectl get kcert
```
証明書の準備が整うと、次のようなメッセージが表示されます。
```
NAME              READY   REASON
your-domain.com              True
```
Kcert の準備が整うまで 20 秒から 2 分かかります。問題が発生した場合は、証明書機能のトラブルシューティングの手順をご覧ください。

成功を確認する

次のコマンドを実行して、DNS レコードが発行されていることを確認します。
```
gcloud run domain-mappings describe --domain DOMAIN
```
DOMAIN は、独自のドメイン名に置き換えます。（例: your-domain.com）
上記のコマンドで返された url: フィールドを確認します（URL は http ではなく https である必要があります）。
上記のコマンドで返された IP アドレス（resourceRecords:rrdata の下）を確認し、コマンド host DOMAIN を実行したときに表示される値と比較します。両方の値が一致している必要があります。

Knative serving で HTTPS リダイレクトを有効にする

マネージド TLS 証明書機能を使用する場合、下位互換性の理由から、クラスタはデフォルトで HTTP と HTTPS の両方のトラフィックに公開されます。すべてのトラフィックに HTTPS のみを使用させるには、次のコマンドを実行することで、既存のドメインマッピングに対して HTTPS リダイレクトが有効になります。

kubectl annotate domainmappings DOMAIN domains.cloudrun.com/httpsRedirect=Enabled

ここで、DOMAIN はドメインマッピングの名前です。