Dokumentasi ini adalah untuk penayangan Knative versi Terbaru, yang menggunakan fleet dan Anthos Service Mesh. Pelajari lebih lanjut.

Versi sebelumnya (Cloud Run for Anthos) telah diarsipkan, tetapi dokumentasinya tetap tersedia untuk pengguna yang sudah ada.

Versi yang tersedia

Terbaru
Mengarsipkan

Menggunakan sertifikat TLS Anda sendiri

Pelajari cara mengonfigurasi penayangan Knative agar menggunakan sertifikat SSL/TLS Anda sendiri.

Atau, Anda dapat menggunakan fitur Sertifikat TLS terkelola, yang otomatis membuat dan memperpanjang sertifikat TLS melalui Let's Encrypt

Untuk menggunakan sertifikat Anda sendiri, simpan sertifikat TLS di Kubernetes Secret, lalu konfigurasikan gateway ingress Anthos Service Mesh untuk menggunakan rahasia tersebut.

Sebelum memulai

Petunjuk ini mengasumsikan bahwa Anda telah memperoleh sertifikat TLS.
Anda harus mengonfigurasi domain kustom. Untuk mengetahui detailnya, lihat Memetakan domain kustom.
Anda harus mengonfigurasi setiap layanan penayangan Knative yang menggunakan gateway masuk untuk menyalurkan traffic eksternal. Jika layanan eksternal ini tidak dikonfigurasi untuk menggunakan sertifikat TLS Anda, layanan tersebut tidak akan dapat memverifikasi koneksi HTTPS sehingga tidak akan pernah mencapai status ready.

Menyimpan sertifikat TLS di Secret Kubernetes

Untuk menyimpan sertifikat ke dalam Secret:

Buka terminal, lalu buka direktori tempat sertifikat TLS Anda berada.
Gunakan perintah berikut untuk membuat rahasia yang menyimpan sertifikat Anda:
```
kubectl create --namespace INGRESS_NAMESPACE secret tls SECRET_NAME \
  --key PRIVATE_KEY.pem \
  --cert FULL_CHAIN.pem
```
Ganti:
- INGRESS_NAMESPACE dengan namespace layanan ingress Anda, istio-ingressgateway. Tentukan namespace istio-system jika Anda menginstal Anthos Service Mesh menggunakan konfigurasi default.
- SECRET_NAME dengan nama yang ingin Anda gunakan untuk Kubernetes Secret Anda.
- PRIVATE_KEY.pem dengan nama file yang menyimpan kunci pribadi sertifikat Anda.
- FULL_CHAIN.pem dengan nama file yang menyimpan sertifikat publik Anda.

Sekarang Anda dapat mengonfigurasi ingress gateway agar menggunakan rahasia yang baru saja dibuat untuk sertifikat TLS.

Mengonfigurasi gateway masuk untuk menggunakan sertifikat Anda

Ubah gateway masuk Anthos Service Mesh agar menggunakan rahasia yang Anda buat untuk sertifikat TLS:

Buka YAML gateway masuk dalam mode edit dengan menjalankan perintah berikut:

kubectl edit gateway knative-ingress-gateway --namespace knative-serving

Contoh konfigurasi gateway masuk default:

apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:
  ...
  # other skipped configuration
  ...
spec:
  selector:
    istio: ingressgateway
  servers:
  - hosts:
    - '*'
    port:
      name: http
      number: 80
      protocol: HTTP

Konfigurasikan gateway masuk untuk menggunakan secret Anda dengan menambahkan atribut hosts, port, dan tls ke YAML yang ada.
- Untuk mengonfigurasi semua layanan agar menggunakan secret yang sama: Tambahkan kode berikut ke konfigurasi YAML Anda dan tentukan "*" sebagai nilai atribut hosts:
```
...
# other skipped configuration
...
- hosts:
  - "*"
  port:
    name: https
    number: 443
    protocol: HTTPS
  tls:
    mode: SIMPLE
    credentialName: SECRET_NAME
```
  Ganti SECRET_NAME dengan nama rahasia yang Anda buat.
  
  Lihat contoh.
- Untuk mengonfigurasi setiap layanan Anda satu per satu: Tambahkan kode berikut ke konfigurasi YAML Anda dan tentukan nilai untuk atribut hosts menggunakan nama dan namespace layanan:
  
  Untuk setiap layanan, tentukan nilai untuk atribut hosts, port, dan tls:
```
...
# other skipped configuration
...
- hosts:
  - SERVICE_NAME.SERVICE_NAMESPACE.CUSTOM_DOMAIN
  port:
    number: 443
    name: https-SERVICE_NAME
    protocol: HTTPS
  tls:
    mode: SIMPLE
    credentialName: SECRET_NAME
```
  Ganti:
  - SERVICE_NAME dengan nama layanan penayangan Knative. Setiap layanan yang menggunakan gateway masuk untuk menyalurkan traffic eksternal harus dikonfigurasi satu per satu.
  - SERVICE_NAMESPACE dengan nama namespace tempat layanan berjalan.
  - CUSTOM_DOMAIN dengan domain kustom tempat Anda mengonfigurasi layanan yang akan digunakan.
  - SECRET_NAME dengan nama rahasia yang Anda ingin gunakan oleh layanan tersebut. Jika membuat beberapa secret untuk kumpulan sertifikat TLS yang berbeda, Anda dapat menentukan rahasia yang digunakan setiap layanan.
  Lihat contoh.
Simpan perubahan Anda.

Kini Anda dapat menggunakan protokol HTTPS untuk mengakses layanan inferensi Knative yang di-deploy.

Contoh

Mengonfigurasi semua layanan:

Contoh ini menunjukkan cara mengonfigurasi semua layanan untuk menggunakan rahasia TLSsecret:

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  ...
  # other skipped configuration
  ...
spec:
  selector:
    istio: ingressgateway
  servers:
    - hosts:
      - "*"
      port:
        name: http
        number: 80
        protocol: HTTP
    - hosts:
      - "*"
      port:
        name: https
        number: 443
        protocol: HTTPS
      tls:
        mode: SIMPLE
        credentialName: TLSsecret

Mengonfigurasi setiap layanan:

Contoh ini menunjukkan cara mengonfigurasi ketiga layanan yang menyalurkan traffic internet secara terpisah:

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  ...
  # other skipped configuration
  ...
spec:
  selector:
    istio: ingressgateway
  servers:
  - hosts:
    - "*"
    port:
      name: http
      number: 80
      protocol: HTTP
  - hosts:
    - prodservice.prodnamespace.my-custom-domain.com
    port:
      number: 443
      name: https-prodservice
      protocol: HTTPS
    tls:
      mode: SIMPLE
      credentialName: TLSsecret
  - hosts:
    - experiment.namespace.my-custom-domain.com
    port:
      number: 443
      name: https-experiment
      protocol: HTTPS
    tls:
      mode: SIMPLE
      credentialName: TLSsecret
  - hosts:
    - fallbackservice.anothernamespace.my-custom-domain.com
    port:
      number: 443
      name: https-fallbackservice
      protocol: HTTPS
    tls:
      mode: SIMPLE
      credentialName: anotherTLSsecret