FAILED_NOT_VISIBLE上的GCP托管SSL证书

Question

我遵循GCP指南为我的子域<subdomain>.<domain>.dev创建了一个托管SSL证书。

我的域名注册员配置了NS记录：

    ns-cloud-d1.googledomains.com.
    ns-cloud-d2.googledomains.com.
    ns-cloud-d3.googledomains.com.
    ns-cloud-d4.googledomains.com.

我的GCP项目正在使用Cloud管理域名，其条目如下：

<domain>.dev.   MX  3600    

    10 eforward1.registrar-servers.com.
    10 eforward2.registrar-servers.com.
    10 eforward3.registrar-servers.com.
    15 eforward4.registrar-servers.com.
    20 eforward5.registrar-servers.com.


<domain>.dev.   NS  21600   

    ns-cloud-d1.googledomains.com.
    ns-cloud-d2.googledomains.com.
    ns-cloud-d3.googledomains.com.
    ns-cloud-d4.googledomains.com.


<domain>.dev.   SOA     3601    

    ns-cloud-d1.googledomains.com. <mail>. 2019032900 86400 7200 3600000 3601


<domain>.dev.   TXT     3600    

    "v=spf1" "include:spf.efwd.registrar-servers.com" "~all"


<subdomain>.<domain>.dev.   A   7200    

    <ingress-ip>


www.<domain>.dev.   CNAME   1799    

    <domain>.dev.

Pinging <subdomain>.<domain>.dev解析目标侵入域的预期IP，并且向http://<subdomain>.<domain>.dev上的应用程序发出请求是正确的。

那么，为什么托管证书配置在FAILED_NOT_VISIBLE中失败呢？

Answer 1

我的错误是引用了in中静态IP资源的错误名称。

在创建“侵入”时，将创建一个新的全局静态IP。由于某些原因，它是用像k8s-fw-myapp-myapp-api--3b52739e6d618a1f这样的自动生成的名称创建的，而不是我分配给它的人类可读的名称。

将issue注释kubernetes.io/ingress.global-static-ip-name更改为自动生成的名称解决了这个问题。