[GCP]GCS 掛載domain

睡睡念

這篇文章要完成得部分有

1. 建立LB，連結到GCS
2. 設定cloud Armor白名單
3. Certificate Manager 增加 ssl憑證

正文

建立負載平衡

建立負載平衡 -> HTTP(S) 負載平衡

![[140-fig.1.jpg]]
不能用區域的，因為區域的不支援後端值區

![[140-fig.2.jpg]]

前端設定

這邊建議最好就直接建立一個ip，不要用臨時的。
如果通訊協定要用https，需要設定憑證，所以這邊先選擇http就好

![[140-fig.3.jpg]]

後端設定

建立值區

![[140-fig.4.jpg]]
第一個箭頭，選擇你要建立的值區
第二個箭頭，看要不要建CDN
第三個箭頭，是設定白名單(cloud Armor)用的，這邊先不設定，等等第二部分會說

![[140-fig.5.jpg]]

主機與路徑規則

預設會直接進入bucket，這邊要注意，記得要將bucket 設定為公開。

![[140-fig.6.jpg]]

設定cloud Armor

上一部份有說到設定白名單(cloud Armor)

網路安全性-> Cloud Armor
這邊要增加的設定是 Edge 安全性政策，不是後端安全性政策，
因為只有edge安全性政策支援後端儲存分區
ref. 安全政策的類型。

![[140-fig.8.jpg]]
新增的時候，選擇 Edge安全性政策，如果沒看到這個選項，
你可能已經進到政策裡面的規則了。

![[140-fig.9.jpg]]

建立完成後，可以從目標去新增要新增的對象，或是到負載平衡那邊做修改。

cloud armor 目標新增

![[140-fig.10.jpg]]
選擇『負載平衡器後端值區』，再選擇你的bucket

 ![[140-fig.11.jpg]]

負載平衡器修改

後端設定 -> 修改

![[140-fig.12.jpg]]
箭頭處選擇剛剛新增的 cloud armor規則

 ![[140-fig.13.jpg]]

Certificate Manager 新增憑證

ssl憑證，在GCP上面是可以直接幫你管理的。
雖然不支援 Wildcard SSL Certificate

![[140-fig.14.jpg]]
憑證分成自己管理與google代管，
自己管理，時間到就要自己上傳新的憑證。
google管理，不用管，時間到會自己展延，前提是你必須要有該domain。
選擇google代管的憑證，輸入要管理的domain

![[140-fig.15.jpg]]
儲存後，回到畫面應該會看到正在佈建中(PROVISIONING)，
這個需要一點時間，最久可能要到60 分

![[140-fig.16.jpg]]

然後到dns伺服器上面綁定domain跟ip了，
我是使用cloudflare，就不截圖了。

ref. 使用 Google 管理的 SSL 證書

設定好了以後，回到負載平衡的前端設定
第一個箭頭，可以選擇跟上面一樣的ip（但你必須先幫他建立）
第二個箭頭，選擇剛剛新增的ssl憑證


 ![[140-fig.17.jpg]]

綜合設定

假設有一個情境是希望domain後面一定要有files才能看圖的話，
需要用到『進階型主機與路徑規則(第一個箭頭)』
第二個箭頭設定domain
第三個箭頭新增新的路徑規則

![[140-fig.7.jpg]]
路徑前置字串重新編寫，將/files轉成 / 訪問bucket

![[140-fig.18.jpg]]

另外要注意，由於每個規則都有一條預設的條件，
『任何不相符合的項目』，這個可以選擇要不要導轉到其他網站。