如何在Google负载均衡器上更新SslCertificate资源？

Question

在基础证书过期时，是否有方法在Google负载平衡器上更新SslCertificate资源，还是必须使用更新的证书创建新资源？

我指的是这个服务：https://cloud.google.com/compute/docs/load-balancing/http/ssl-certificates (请注意缺少对证书更新的引用)。

谢谢大家！

Answer 1

在Google的Global负载均衡器上，每个HTTPS目标代理都链接到一个证书。您可以使用gcloud工具(在GCE映像上预装)用新的证书更新目标代理。但要确保：

• 您的gcloud版本相对较新。目标-https-代理命令是最近才添加的，因此它们不存在于较早版本的gcloud中。(不要与target-http-proxies混为一谈，它是恒河明文HTTP站点)
• 更新服务器可以访问Compute引擎资源。您可以在GCE模板中或在实例的基础上对其进行配置.

您可以查询gcloud中的当前证书，以检查它是否即将过期。如果是，您可以上传新证书，然后使用target-https-proxies update命令切换到新证书。您不会立即看到更改，但是很快，更新的证书应该会在全球范围内安装。

有30个SSL证书的使用配额(至少在我的帐户上)。但是，如果你不太积极地延长你的更新，你不会有任何问题，即使你的续约脚本没有清理过期的证书。最好至少保留一个旧的证书，以防出了问题，需要恢复。

Answer 2

看起来谷歌提供了另一种解决方案，您可以创建新的证书，创建新的SslCertificate资源，并将其放到负载均衡器上。如果新证书有问题，它将允许您在不停机的情况下更改证书。最后，您可以删除过期的SslCertificate资源。