睡睡念
這篇文章要完成得部分有
- 建立LB,連結到GCS
- 設定cloud Armor白名單
- Certificate Manager 增加 ssl憑證
正文
建立負載平衡
建立負載平衡 -> HTTP(S) 負載平衡
![[140-fig.1.jpg]]
不能用區域的,因為區域的不支援後端值區
![[140-fig.2.jpg]]
前端設定
這邊建議最好就直接建立一個ip,不要用臨時的。
如果通訊協定要用https,需要設定憑證,所以這邊先選擇http就好
![[140-fig.3.jpg]]
後端設定
建立值區
![[140-fig.4.jpg]]
第一個箭頭,選擇你要建立的值區
第二個箭頭,看要不要建CDN
第三個箭頭,是設定白名單(cloud Armor)用的,這邊先不設定,等等第二部分會說
![[140-fig.5.jpg]]
主機與路徑規則
預設會直接進入bucket,這邊要注意,記得要將bucket 設定為公開。
![[140-fig.6.jpg]]
設定cloud Armor
上一部份有說到設定白名單(cloud Armor)
網路安全性-> Cloud Armor
這邊要增加的設定是 Edge 安全性政策,不是後端安全性政策,
因為只有edge安全性政策支援後端儲存分區
ref. 安全政策的類型。
![[140-fig.8.jpg]]
新增的時候,選擇 Edge安全性政策,如果沒看到這個選項,
你可能已經進到政策裡面的規則了。
![[140-fig.9.jpg]]
建立完成後,可以從目標去新增要新增的對象,或是到負載平衡那邊做修改。
cloud armor 目標新增
![[140-fig.10.jpg]]
選擇『負載平衡器後端值區』,再選擇你的bucket
![[140-fig.11.jpg]]
負載平衡器修改
後端設定 -> 修改
![[140-fig.12.jpg]]
箭頭處選擇剛剛新增的 cloud armor規則
![[140-fig.13.jpg]]
Certificate Manager 新增憑證
ssl憑證,在GCP上面是可以直接幫你管理的。
雖然不支援 Wildcard SSL Certificate
![[140-fig.14.jpg]]
憑證分成自己管理與google代管,
自己管理,時間到就要自己上傳新的憑證。
google管理,不用管,時間到會自己展延,前提是你必須要有該domain。
選擇google代管的憑證,輸入要管理的domain
![[140-fig.15.jpg]]
儲存後,回到畫面應該會看到正在佈建中(PROVISIONING),
這個需要一點時間,最久可能要到60 分
![[140-fig.16.jpg]]
然後到dns伺服器上面綁定domain跟ip了,
我是使用cloudflare,就不截圖了。
ref. 使用 Google 管理的 SSL 證書
設定好了以後,回到負載平衡的前端設定
第一個箭頭,可以選擇跟上面一樣的ip(但你必須先幫他建立)
第二個箭頭,選擇剛剛新增的ssl憑證
![[140-fig.17.jpg]]
綜合設定
假設有一個情境是希望domain後面一定要有files才能看圖的話,
需要用到『進階型主機與路徑規則(第一個箭頭)』
第二個箭頭設定domain
第三個箭頭新增新的路徑規則
![[140-fig.7.jpg]]
路徑前置字串重新編寫,將/files轉成 / 訪問bucket
![[140-fig.18.jpg]]
另外要注意,由於每個規則都有一條預設的條件,
『任何不相符合的項目』,這個可以選擇要不要導轉到其他網站。
0 意見:
張貼留言