您可以设置自定义网域,而不是 Cloud Run 为已部署服务提供的默认地址。
您可以通过以下方式为 Cloud Run 服务设置自定义网域:
- 使用全球外部应用负载均衡器(推荐)
- 使用 Firebase Hosting 的 Cloud Run 集成功能(使用 Firebase Hosting 的最简单方法)
- 通过手动配置使用 Firebase Hosting(如果您不想使用集成功能)
- 使用 Cloud Run 网域映射(有限的可用性和预览版)
您可以将多个自定义网域映射到同一 Cloud Run 服务。
准备工作
购买新网域,除非您已经有要使用的网域。您可以使用任何域名注册商。
使用全球外部应用负载均衡器映射自定义网域
使用此选项,您可以在 Cloud Run 服务前面添加全球外部应用负载均衡器,并在负载均衡器级层配置自定义网域。
使用全球外部应用负载均衡器的一个优点是,您可以更好地控制自定义网域设置。例如,它允许您使用自己的 TLS 证书或将特定网址路径路由到 Cloud Run 服务。它还允许您配置 Cloud CDN(用于缓存)和 Google Cloud Armor(用于增强安全性)。
请注意,您还可以使用网址掩码将多项服务映射到单个负载均衡器(例如 <service>.example.com)的自定义网域网址格式中的动态主机名或路径部分。
使用 Cloud Run 集成
如果您当前未使用全球外部应用负载均衡器,则可以使用 Cloud Run 集成功能快速为 Cloud Run 服务设置负载均衡器。请参阅 Cloud Run 上使用全球外部应用负载均衡器的自定义网域的集成页面。
直接使用全球外部应用负载均衡器
如果您已经在使用全球外部应用负载均衡器,请参阅有关使用 Cloud Run 设置全球外部应用负载均衡器的文档。请注意,使用集成功能可能会覆盖某些现有的负载均衡器配置,例如 CDN 启用。
使用 Firebase Hosting 映射自定义网域
使用此选项,您可以在 Cloud Run 服务前面配置 Firebase Hosting,并将配置网域连接到 Firebase Hosting。
使用 Firebase Hosting 价格较低,并且您可以选择托管和提供静态内容以及由 Cloud Run 服务提供的动态内容。
使用 Cloud Run 集成
使用 Firebase Hosting 映射自定义网域的最简单推荐方法是使用 Firebase Hosting 的 Cloud Run 集成功能。
使用 firebase.json
如果您不想使用 Firebase Hosting 集成功能,也可以使用手动方法来配置 Firebase Hosting。
如需使用 Firebase Hosting 手动映射自定义网域,请执行以下操作:
- 将 Firebase 添加到您的 Google Cloud 项目
- 安装 Firebase CLI
在与服务源代码不同的文件夹中,创建一个
firebase.json文件,其中包含以下内容:{ "hosting": { "rewrites": [{ "source": "**", "run": { "serviceId": "SERVICE_NAME", "region": "REGION" } }] } }将 SERVICE_NAME 和 REGION 分别替换为您的 Cloud Run 服务的名称和区域。
部署 Firebase Hosting 配置:
firebase deploy --only hosting --project PROJECT_ID
详细了解 Firebase Hosting 和 Cloud Run。
使用 Cloud Run 网域映射功能(有限的可用性和预览版)来映射自定义网域
Cloud Run 网域映射限制
Cloud Run 网域映射有以下注意事项:
- Cloud Run 网域映射处于预览版发布阶段。由于延迟问题,它们尚未做好生产准备,并且在正式发布时不受支持。目前,不建议为生产服务使用此选项。
- 当您将服务映射到自定义网域时,系统会自动为 HTTPS 连接发放并续订 Google 代管的证书。
- 预配 SSL 证书通常需要大约 15 分钟,但最多可能需要 24 小时。
- 您无法停用 TLS 1.0 和 1.1。如果因此导致问题,您可以使用 Firebase Hosting 或 Cloud Load Balancing 启用仅限 TLS 1.2 的流量。
- 您不能上传和使用自己的(自行管理)证书。
- Cloud Run 网域映射的长度上限为 64 个字符。
- 网域映射可在以下区域使用:
asia-east1asia-northeast1asia-southeast1europe-north1europe-west1europe-west4us-central1us-east1us-east4us-west1
- 如需映射其他区域中的自定义网域,您必须使用某个其他映射选项。
- 使用 Cloud Run 网域映射时,您需要将自定义网域映射到服务,然后更新 DNS 记录。
- 您可以映射网域(如
example.com)或子网域(如subdomain.example.com)。 - 您只能将网域映射到
/,而不能映射到/users等特定网址路径。 - 您不能将通配符证书与此功能搭配使用。
将自定义网域映射到服务
您可以使用 Google Cloud 控制台、gcloud CLI 或 Terraform 将自定义网域映射到服务。
控制台
在 Google Cloud 控制台中打开网域映射页面:
“网域映射”页面点击添加映射。
请注意,如果显示窗口太小,则不会显示添加映射按钮,您必须点击页面右侧的三点状垂直椭圆图标。
从下拉列表中选择要将自定义网域映射到的服务。
根据为所选服务设置的区域,表单会显示可用于添加自定义网域的选项:
- 使用 Cloud Run 集成的 Firebase Hosting
- 自定义网域 - 使用 Cloud Run 集成的 Google Cloud Load Balancing
- Cloud Run 网域映射
选择 Cloud Run 网域映射。
在添加映射表单中,选择验证新网域。
在要验证的基本网域字段中,除非您是从 Google 购买网域,否则您需要先验证对网域的所有权,然后才能使用该网域。
如果您要映射
subdomain.example.com或subdomain1.subdomain2.example.com,则应验证对example.com的所有权。如需详细了解如何验证域名所有权,请参阅 Search Console 帮助点击继续。
域名验证完成后,点击继续验证并关闭。
访问您的网域注册商网站,并使用上一步中显示的 DNS 记录更新您的 DNS 记录。您可以随时显示上步中所示的 DNS 记录,点击网域映射所对应“...”操作菜单中的 DNS 记录即可。
点击完成。
命令行
除非您从 Google 购买了自定义网域,否则首次在 Google Cloud 项目中使用该网域时,您必须验证网域所有权。您可以使用以下命令来确定要使用的自定义网域是否已通过验证:
gcloud domains list-user-verified
如果您需要验证域名所有权,请打开 Search Console 验证页面:
gcloud domains verify BASE-DOMAIN
其中,
BASE-DOMAIN是您要验证的基本网域。例如,如果要映射subdomain.example.com,您应验证example.com的所有权。在 Search Console 中,完成域名所有权验证。如需了解详情,请参阅 Search Console 帮助。
将服务映射到自定义网域:
gcloud beta run domain-mappings create --service SERVICE --domain DOMAIN
- 将
SERVICE替换为您的服务名称。 - 将
DOMAIN替换为您的自定义网域,例如example.com或subdomain.example.com
- 将
Terraform
如需了解如何应用或移除 Terraform 配置,请参阅基本 Terraform 命令。
如需创建 Cloud Run 服务,请将以下内容添加到现有 main.tf 文件中:
将 name 的值替换为您自己的服务名称。
将 Cloud Run 服务映射到自定义网域:
将 verified-domain.com 替换为经过验证的自定义网域,例如 example.com 或 subdomain.example.com
在网域注册商处添加 DNS 记录
在 Cloud Run 中,将服务映射到自定义网域后,您需要在域名注册商处更新 DNS 记录。为方便起见,Cloud Run 会生成并显示您需要输入的 DNS 记录。您必须在域名注册商处添加这些记录以指向 Cloud Run 服务,映射才能生效。
如果您使用 Cloud DNS 作为 DNS 提供商,请参阅添加记录。
按照以下方式检索网域映射的 DNS 记录信息:
控制台
转到 Cloud Run 网域映射页面:
网域映射页面点击服务右侧的三点状垂直椭圆图标,然后点击 DNS 记录以显示所有 DNS 记录:
命令行
gcloud beta run domain-mappings describe --domain [DOMAIN]
将
[DOMAIN]替换为您的自定义网域,例如example.com或subdomain.example.com。您需要在
resourceRecords标题下返回的所有记录。访问域名注册商并登录您的账号,然后打开 DNS 配置页面。
找到网域配置页面的主机记录部分,然后添加您在将网域映射到 Cloud Run 服务时收到的各条资源记录。
在 DNS 提供商处将上述各 DNS 记录添加到账号时,请按如下所述操作:
- 选择上一步中 DNS 记录返回的类型:
A、AAAA或CNAME。 - 使用名称
www映射到www.example.com。 - 使用名称
@映射example.com。
- 选择上一步中 DNS 记录返回的类型:
保存您在网域账号的 DNS 配置页面中所做的更改。在大多数情况下,这些更改只需几分钟即可生效,但在某些情况下,可能需要几个小时,具体取决于注册商以及网域的任何先前 DNS 记录的存留时间 (TTL)。您可以使用
dig工具(如此在线dig版本)确认 DNS 记录已成功更新。通过浏览您的新服务网址(例如
https://www.example.com)来测试是否成功。请注意,发放代管式 SSL 证书可能需要几分钟的时间。
将已通过验证的域名所有者添加到其他用户或服务账号
当某位用户验证网域时,网域仅会针对该用户的账号进行验证。这意味着,只有该用户才能添加使用这个网域的其他网域映射。因此,要使其他用户能够添加使用这个网域的映射,您必须将这些用户添加为已通过验证的所有者。
如果您需要将经过验证的域名所有者添加到其他用户或服务账号,则可以通过 Search Console 页面添加权限:
使用网络浏览器导航到以下地址:
在属性下,点击要为其添加用户或服务账号的网域。
向下滚动到已验证所有者列表,点击添加所有者,然后输入 Google 账号电子邮件地址或服务账号 ID。
如需查看您的服务账号列表,请打开 Google Cloud 控制台中的“服务账号”页面:
删除 Cloud Run 网域映射
您可以使用 Google Cloud 控制台或 gcloud 命令行工具删除网域映射。
控制台
在 Google Cloud 控制台中打开网域映射页面:
“网域映射”页面在网域映射页面中,选择要删除的网域映射,然后点击删除。
命令行
删除网域映射:
gcloud beta run domain-mappings delete --domain DOMAIN
- 将
DOMAIN替换为您的自定义网域,例如example.com或subdomain.example.com
- 将
将自定义网域与经过身份验证的服务搭配使用
经过身份验证的服务受 IAM 保护。 此类 Cloud Run 服务需要在凭据生成时声明请求的预期接收者(受众群体)的客户端身份验证。
受众群体通常是目标服务的完整网址,默认情况下,对于 Cloud Run 服务,该网址是一个生成的以 run.app 结尾的网址。但是,如果您使用自定义网域,则应避免使用自动生成的 run.app 网址作为受众群体。而是为自定义受众群体配置服务,以使其接受自定义网域作为有效的身份验证受众群体。