Utiliser des certificats TLS gérés et HTTPS

Cette page explique comment désactiver et réactiver la fonctionnalité de certificats TLS gérés, qui fournit et renouvelle automatiquement les certificats TLS afin d'accepter les connexions HTTPS sur Knative serving.

Si vous souhaitez utiliser HTTPS :

  • Votre conteneur doit continuer à écouter sur le port $PORT.
  • Vous devez choisir la manière dont vous fournissez les certificats TLS :

    • Utiliser des certificats TLS gérés : dans ce cas, les certificats TLS sont créés automatiquement si nécessaire, et ils sont également renouvelés automatiquement. La présente page décrit cette fonctionnalité, qui est disponible dans les versions Google Kubernetes Engine compatibles.
    • Utiliser vos propres certificats : dans ce cas, il vous incombe d'obtenir et de renouveler des certificats. Dans certains contextes, décrits dans la section Limites, vous devez utiliser vos propres certificats.
  • Si vous utilisez des certificats gérés, vous devez également mapper votre domaine personnalisé afin d'utiliser la fonctionnalité de certificats gérés.

Utiliser HTTPS et HTTP

Par défaut, si vous utilisez des certificats gérés, les clusters ou les services Knative serving avec certificats gérés sont exposés au trafic HTTP et HTTPS. Si vous souhaitez autoriser uniquement le trafic HTTPS, vous pouvez activer les redirections HTTPS pour forcer l'ensemble du trafic à utiliser HTTPS.

Dépannage

Si vous rencontrez des problèmes lors de l'utilisation de certificats TLS gérés, consultez la page Résoudre les problèmes liés aux certificats TLS gérés.

Limites

Les points suivants doivent être pris en compte pour l'utilisation de la fonctionnalité de certificats TLS gérés :

  • Les certificats TLS gérés sont désactivés et ne sont pas compatibles avec les clusters privés de Knative serving sur Google Cloud.
  • Pour utiliser la fonctionnalité de certificats gérés, votre service doit être exposé en externe : il ne peut pas s'agir d'un service local au cluster ni d'un service exposé par le cloud privé virtuel.
  • La fonctionnalité de certificats gérés ne fonctionne qu'avec Cloud Service Mesh. Le module complémentaire Istio ou d'autres configurations Istio ne sont pas compatibles.
  • Cette fonctionnalité utilise Let's Encrypt, dont la limite de quota initiale est de 50 certificats TLS par semaine et par domaine enregistré. Vous pouvez demander une augmentation du quota en suivant la documentation de Let's Encrypt.
  • Lorsque vous exécutez un cluster Knative serving sur d'autres plates-formes, telles qu'une plate-forme sur site ou AWS, cette fonctionnalité est désactivée. Pour utiliser cette fonctionnalité, vous devez vous assurer que votre cluster peut accéder à Let's Encrypt et que votre service d'entrée Cloud Service Mesh est exposé à l'Internet public.

Avant de commencer

Les instructions figurant sur cette page présupposent ce qui suit :

  • Vous avez déployé votre service Knative serving sur le cluster.
  • Vous possédez un domaine. Si vous n'en avez pas, vous pouvez en obtenir un auprès de Google ou d'un autre fournisseur de domaine.
  • Vous avez créé un mappage de domaine pour votre service et avez mis à jour votre enregistrement DNS en suivant les instructions de la page concernant le mappage de domaines.
  • Sinon, utilisez Cloud DNS ou un serveur DNS de votre choix.

Désactiver les certificats TLS gérés et HTTPS pour l'intégralité d'un cluster

Pour désactiver les certificats TLS gérés pour un cluster, mettez à jour le fichier ConfigMap config-domainmapping :

kubectl patch cm config-domainmapping -n knative-serving -p '{"data":{"autoTLS":"Disabled"}}'

Désactiver les certificats TLS gérés et HTTPS pour un mappage de domaine spécifique

Si nécessaire, vous pouvez désactiver la fonctionnalité de certificats TLS gérés pour un mappage de domaine spécifique :

  1. Ajoutez l'annotation domains.cloudrun.com/disableAutoTLS: "true" :

    kubectl annotate domainmappings DOMAIN domains.cloudrun.com/disableAutoTLS=true
  2. Assurez-vous que le protocole HTTPS ne fonctionne pas :

    curl https://DOMAIN

  3. Assurez-vous que le protocole HTTP est utilisé pour le service :

    gcloud run domain-mappings describe --domain DOMAIN

    Remplacez DOMAIN par votre propre nom de domaine, par exemple your-domain.com.

    Vérifiez le champ url: dans le résultat de la commande ci-dessus : l'URL doit afficher http, et non https.

Réactiver les certificats TLS gérés et HTTPS

Pour réactiver la fonctionnalité de certificats TLS gérés, procédez comme suit :

  1. Si vous ne l'avez pas déjà fait, créez un mappage de domaine pour votre service et mettez à jour votre enregistrement DNS en suivant les instructions de la page concernant le mappage de domaines.

  2. Activez les certificats TLS gérés et HTTPS en mettant à jour le fichier ConfigMap config-domainmapping :

    kubectl patch cm config-domainmapping -n knative-serving -p '{"data":{"autoTLS":"Enabled"}}'
  3. Attendez quelques minutes que la commande aboutisse, puis assurez-vous que la fonctionnalité de certificats est opérationnelle :

    kubectl get kcert

    Si le certificat est prêt, un message de ce type doit s'afficher :

    NAME              READY   REASON
    your-domain.com              True

    Il peut s'écouler entre 20 secondes et 2 minutes avant que le certificat Kcert ne soit prêt. Si vous rencontrez des problèmes, consultez les instructions de dépannage concernant cette fonctionnalité.

Vérifier la réussite de l'opération

  1. Vérifiez que l'enregistrement DNS est activé en exécutant la commande suivante :

    gcloud run domain-mappings describe --domain DOMAIN

    Remplacez DOMAIN par votre propre nom de domaine, par exemple your-domain.com.

  2. Vérifiez le champ url: dans le résultat de la commande ci-dessus : l'URL doit afficher https, et non http.

  3. Vérifiez l'adresse IP dans la commande ci-dessus, répertoriée sous resourceRecords:rrdata, et comparez-la à la valeur affichée lors de l'exécution de la commande host DOMAIN. Elles doivent être identiques.

Activer les redirections HTTPS pour Knative serving

Si vous utilisez la fonctionnalité de certificats TLS gérés, le cluster est par défaut exposé au trafic HTTP et HTTPS pour des raisons de rétrocompatibilité. Si vous souhaitez forcer l'ensemble du trafic à utiliser HTTPS, vous pouvez activer les redirections HTTPS pour un mappage de domaine existant en appelant la commande suivante :

kubectl annotate domainmappings DOMAIN domains.cloudrun.com/httpsRedirect=Enabled

DOMAIN est le nom du mappage de domaine.