GCP HTTP第7层负载均衡器中的动态SSL分配

Question

我正在探索GCP，我喜欢它让开发人员使用如此昂贵的基础设施的方式。到目前为止，我已经学到了很多东西。我不再是一个初学者，我有这样的情况，我找不到文档或例子，或者我可能在错误的方向思考。

我想构建一个自动缩放的托管解决方案，用户可以：

1. 创建帐户
2. 创建多个网站这些网站基本上是用户可以定义某些字段的模板，并且网站是以特定的方式呈现的，不允许用户上传文件，而只允许一些数据条目。
3. 在网站中，用户可以连接域，在其域中放置“A”记录DNS条目
4. 在此之后，平台会自动提供一个SSl，并且网站已经启动并运行。有点像火场

我可以轻松地在一台服务器上创建这样一个项目，其配置跳过了用户auth等简单步骤。

1. 我使用ubunutu 16.04作为我的机器类型，有4GB内存和10 4GB存储盘
2. 然后我安装了一个nvm包来管理node.js
3. 之后，我使用node.js安装了特定版本的nvm。
4. 我编写了一个简单的javascript包，在该包中，我使用速递服务器以html的形式响应客户端的请求。
5. 为了管理ssl，我使用letsencrypt的certbot包
6. 我在后台使用pm2作为服务运行javascipt文件。

在能够完成这件事之后，我可以看到一切都按照我所希望的方式运作。

然后，我开始探索GCP的负载平衡器，在那里我了解了4层和7层LBs，并在所有可能的配置中使用启动脚本实现了hello world测试，如

• 7层http
• 7层https
• 4层内部tcp
• 4层内部ssl

下面是我面临的主要问题：我找不到一种方法来动态地将SSL分配到负载均衡器的传入请求

在我的例子中，请求可能来自任何域，所以GCP负载平衡器必须有某种配置来为特定域提供SSL，我已经读过，它可以为多达100个域分配SSL，但是我如何能够自动化事情，或者有一种方式代替由proxiedLB来生成新的请求到内部服务器，请求只是被重定向，以便内部服务器可以处理SSL管理主题。

在我对这些概念的理解上，我可能错了。请帮我解决这个问题。我想自己构建firebase-hosting clone。欢迎任何回应

Answer 1

一种方法是更新JS脚本，通过gcloud为每个新域生成Google管理的证书：

gcloud compute ssl-certificates create CERTIFICATE_NAME \
    --description=DESCRIPTION \
    --domains=DOMAIN_LIST \
    --global

然后将其应用于负载平衡器：

gcloud compute target-https-proxies update TARGET_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_LIST \
    --global-ssl-certificates \
    --global

请注意，负载均衡器开始使用新证书可能需要5到20分钟。

您可以找到更多信息，这里。