أسماء النطاقات والشهادات والتحليل: يعلمك استخدام GCP Cloud DNS وشهادات SSL المجانية التي تديرها Google

لقد عانى معظم الأصدقاء الذين اشتروا أسماء النطاقات وطوروا مواقع الويب من آلام التعذيب من مختلف "السجلات التحليلية" و "شهادات SSL" و "HTTPS مصافحة للإبلاغ عن الأخطاء".

عملية إنشاء الموقع التقليدية على النحو التالي: لقد اشتريت اسم المجال من الشركة المصنعة A ، وذهبت إلى الشركة المصنعة B لتجهيز التحليل ، ثم ذهبت إلى الشركة المصنعة C للتقدم بطلب للحصول على شهادة SSL مجانية لمدة 90 يومًا. كل ثلاثة أشهر ، يتعين عليك تجديد شهادتك يدويًا بطريقة مثيرة مثل القبر. بمجرد أن تنسى ذلك ، سيظهر تحذير أمان دموي مباشرة عندما يزور المستخدم موقع الويب-"اتصالك ليس اتصالًا خاصًا" ، حركة المرور على موقع الويب تنهار على الفور.

في بيئة Google Cloud(GCP ، Google Cloud) ، هناك حل نهائي أنيق:

استخدم Cloud DNS لإدارة تحليل اسم المجال ، والتعاون مع شهادات SSL المجانية التي تديرها Google

.

اليوم نحن نرفض أي هراء ، دون حفظ الوثائق الرسمية. المبض يأخذك إلى تكوين العملية الكاملة ، وتحقيق

تحليل المستوى الثاني العالمي لأسماء النطاقات ، والتطبيق التلقائي لشهادة SSL ، والتجديد التلقائي المجاني الدائم

الأساس الذهبي للإنترنت.

المرحلة الأولى: التفكيك العميق ، تحليل DNS و "القواعد الخفية" لشهادة SSL

قبل الكتابة على لوحة المفاتيح ، يجب أن تنشئ نموذجًا للعالم المادي بين اسم المجال والتحليل والشهادة في ذهنك ، وإلا ستغمي بالتأكيد عند تكوينها لاحقًا.

يمكن تقسيم دورة حياة الوصول إلى الشبكة بأكملها إلى خطوتين:

مرحلة البحث عن المسار (تحليل DNS): يقوم المستخدم بإدخال www.yourcompany.com في المتصفح

. نظرًا لأن الكمبيوتر لا يمكنه قراءة الحروف ، فعليه أن يسأل خادم Google Cloud DNS الموثوق به: "ما هو عنوان IP للخادم المقابل لاسم المجال هذا ؟" قام DNS بقلب دفتر الأستاذ وأعاد عنوان IP (مثل 34.xx. x). حصل الكمبيوتر على IP ووجد باب الخادم.

مرحلة التحقق من الجسد (شهادة SSL): بعد العثور على باب المنزل ، لا يجرؤ الكمبيوتر على نقل كلمة مرور المستخدم ورقم بطاقة الائتمان مباشرة ، ويجب أن يكون مخفيًا مع الخادم. أخرج الخادم شهادة SSL لإثبات "أنا بالفعل مسؤول yourcompany ، وليس متسلل." قام الطرفان بضربها وسحبوا نفقًا مشفرًا HTTPS ، وتم إغلاق البيانات بأمان.

في الماضي ، تم تقسيم هاتين المرحلتين. والتكنولوجيا السوداء التي سنلعبها اليوم هي

موازن تحميل Google Cloud مباشرة إلى هيئة إصدار شهادات Google (CA)

، يساعدك تلقائيًا على لحام هاتين الخطوتين بسلاسة.

المرحلة الثانية: التمرين القتالي الفعلي 1-نقل الجزء الخلفي من اسم المجال إلى GCP Cloud DNS

بغض النظر عما إذا كان اسم المجال الخاص بك قد تم شراؤه من GoDaddy أو Namecheap أو Ali Cloud ، من أجل الاستمتاع بالسرعة الفعالة لتحليل المستوى الثاني لشبكة العمود الفقري العالمية من Google ، يجب أن نمنح حق التحليل إلى Google.

1. إنشاء منطقة DNS في GCP (Managed Zo)

(ن)

قم بتسجيل الدخول إلى وحدة تحكم GCP ، وابحث عن "خدمات الشبكة"-> "Cloud DNS" في قائمة التنقل في الزاوية العلوية اليسرى.

في الجزء العلوي ، انقر على "إنشاء منطقة".

تكوين المعلمة: نوع المنطقة: اختر "عام". اسم المنطقة: اسم يمكنك فهمه (على سبيل المثال ، My-company-zone). اسم DNS: املأ اسم المجال الرئيسي الذي اشتريته في الخارج بدقة (على سبيل المثال ، yourcompany.com ، لا تأخذ www).

انقر على إنشاء.

2. انتقل إلى مسجل اسم المجال لتعديل "عصا نقل الطاقة" (سجل NS)

بعد الإنشاء الناجح ، سيقوم GCP بإنشاء واحدة بشكل افتراضي في قائمة السجلات

سجلات NS

، يحتوي على 4 عناوين خادم اسم المجال الرسمية من Google (على سبيل المثال

Ns-cloud-a1.googledomains.com.

حتى

A4

).

نسخ هذه العناوين 4.

قم بتسجيل الدخول إلى خلفية الطرف الثالث حيث اشتريت اسم المجال وابحث عن "خوادم DNS المخصصة" أو "تعديل تعديلات DNS".

احذف جميع عناوين الخادم التي أحضرتها في الأصل ، وألصق العناوين الأربعة التي أعطتها لك Google ، وانقر فوق حفظ.

القصة الداخلية لـ Dachang Yunwei: يسمى هذا الإجراء "تفويض القوة التحليلية". منذ ذلك الحين ، يستفسر المستخدمون في جميع أنحاء العالم عن اسم المجال الخاص بك ، وتذهب حركة المرور مباشرة إلى عقد حافة DNS من Google في جميع أنحاء العالم ، ويتم تقصير سرعة التحليل من الساعات التقليدية إلى بضع ثوانٍ.

المرحلة الثالثة: تمرين عملي 2-تطبيق بنقرة واحدة لشهادة SSL المجانية التي تديرها Google

مع أساس تحليل اسم المجال ، سنتقدم بطلب للحصول على شهادة SSL التي يمكن أن تجعل موقع الويب يضيء "Green Security Lock". في مواصفات هيكل المصنع الكبير ، نحن

لا تقم مطلقًا بتركيب الشهادة مباشرة في جهاز VMالظاهري

، بدلاً من ذلك ، يتم تحميله بشكل موحد على موازن التحميل الأمامي.

نأتي إلى ساحة معركة تكوين الشبكة المتقدمة ، البوابة الأمامية لتكوين موازن تحميل خارجي HTTP(S):

انتقل إلى صفحة موازنة التحميل (Load Balancing) وانقر على إنشاء/تحرير معادلة تحميل التطبيقات الخارجية الخاصة بك.

قم بالتبديل إلى علامة التبويب "تكوين الواجهة الأمامية".

البروتوكول (البروتوكول): لا تتردد القائمة المنسدلة في اختيار HTTPS (ملاحظة: يمكنك فقط اختيار HTTPS لتعليق الشهادة).

عنوان IP: يوصى باختيار عنوان IP خارجي ثابت قمت بحجزه مسبقًا.

شهادة: انقر على القائمة المنسدلة واختر "إنشاء شهادة جديدة".

نضح المعلمة الأساسية: الاسم: google-managed-ssl-cert. خلق

وضع البناء: حدد "إنشاء شهادة مُدارة من Google". النطاقات: أدخل بدقة اسم المجال الذي تريد ربط الشهادة به. إذا كنت تريد استخدام اسم المجال الرئيسي واسم المجال من المستوى الثاني ، فاضيفه في سطر واحد ، على سبيل المثال ، املأ yourcompany.com في السطر الأول ، واملأ www.yourcompany.com في السطر الثاني.

انقر على إنشاء وحفظ تكوين الواجهة الأمامية.

المرحلة الرابعة: تكوين الروح-سجل وشهادة "تنشيط المشهد"

في هذا الوقت ، تم بناء معادلة التحميل وتم تخصيصها أيضًا لعنوان IP ثابت عالمي (بافتراض ذلك

35.201.x.x

) ، دخلت الشهادة أيضًا في حالة التطبيق. ولكن في هذا الوقت تذهب إلى حالة الشهادة ، وسوف تظهر الألم

PROVISIONING (التكوين في/ليتم التحقق منها)

.

لأن هيئة شهادات Google (CA) يجب أن تفعل ذلك مرة واحدة قبل إصدار الشهادة لك

التحقق من تحدي الملكية

: يجب التحقق من ذلك على الإنترنت ،

Www.yourcompany.com

هل يشير اسم المجال هذا الآن إلى عنوان IP الخاص بـ Google Cloud ؟ إذا لم تستطع ذلك ، فسوف ترفض إصدار الشهادة.

لذا يجب أن نذهب إلى المرحلة الثانية من البناء

Cloud DNS

في ، قم بتوصيل قناة التوجيه هذه تمامًا:

ارجع إلى Cloud DNS وانقر على منطقة النطاق التي قمت بإنشائها قبل الدخول.

انقر فوق "Add standard record set": قم بتحليل نطاق Routing Name: إذا تم تكوين اسم المجال الرئيسي ، فابقيه فارغًا ؛ إذا كان www ، أدخل www. نوع سجل الموارد: حدد سجل A. عنوان IPv4: املأ بدقة IP الثابت العالمي (35.201.x) الذي حصلت عليه للتو من معادلة التحميل.

انقر على إنشاء.

فترة انتظار طويلة ومثيرة "الضوء الأخضر الساطع"

عندما يتم إنشاء السجل A في Cloud DNS ، فإن عقد الكشف العالمي لمؤسسات CA من Google سوف تحصل على هذا السجل.

نظرًا لأن المجموعة الكاملة مغلقة على الشبكة الداخلية من Google ، فإن سرعة التحقق سريعة للغاية. انتظر حوالي 10 إلى 20 دقيقة لتحديث الصفحة الأمامية لمعادل التحميل ، وسوف تجد حالة الشهادة من الأصفر

PROVISIONING

أصبحت خضراء

ACTIVE (نشط)

.

ضرب ht في المتصفح

Tps: // www.yourcompany.com

، تفتح الصفحة في ثوانٍ على الفور ، ويظهر قفل تشفير مثالي يمثل أعلى مستوى من الأمان على الجانب الأيسر من شريط العنوان. تحقق من تفاصيل الشهادة ، وكتبتها الجهة الصادرة بوضوح:

Google Trust Services

.

المرحلة الخامسة: تاريخ تجنب الدماء والدموع في ظل هيكل الأعمال متعدد الجنسيات

بعد تكوين هذه المجموعة من البرامج ، يمكنك أن تكون صاحب المتجر تمامًا ، لأن الشهادة التي تديرها Google

قبل انتهاء الصلاحية

لمدة 30 يومًا ، سيتم تجديده تلقائيًا من خلال رابط DNS في الخلفية

طالما لم يتم حذف معادلة التحميل و Cloud DNS ، لن تنتهي صلاحية الشهادة.

ومع ذلك ، في بيئة الإنتاج الفعلية على مستوى المؤسسة ، عادة ما يتعين على مهندسي التشغيل والصيانة إجراء التكوينات الدفاعية المادية التالية قبل تسليم إجابة نهائية مثالية:

1. فرض إعادة توجيه HTTP العالمية إلى HTTPS (عدم السماح للمستخدمين بالسير في الاتجاه الخطأ)

على الرغم من أنك مجهزة بـ HTTPS ، إلا أن العديد من المستخدمين المهملين أو الروابط الودية القديمة في الواقع ستظل تمر

إتش تي

Tp: // yourcompany.com

(بدون s) لزيارة موقع الويب الخاص بك. إذا لم تقم بالمعالجة ، فسيرى المستخدم صفحة ويب غير آمنة للنص العادي ، أو سيرى مباشرة خطأ معادلة التحميل.

تشغيل المواصفات الأساسية: في تكوين موازن تحميل GCP ، قم بإنشاء واجهة أمامية مستقلة تستمع فقط إلى منفذ HTTP 80 ، وحدد "تمكين المضيف المتقدم ، وقواعد المسار وإعادة التوجيه" في قواعد التوجيه ، وتهيئتها على أنها "إعادة توجيه 301 القسري بشكل دائم إلى HTTPS". بهذه الطريقة ، سيتم إعادة أي تدفق يسير في الاتجاه الخاطئ إلى مسار التشفير على الفور.

2. كن حذرًا من الحفرة الكبيرة لـ "حرف البدل متعدد العملاء"

شهادة مجانية من إدارة جوجل لديها القليل من الأسف:

لا يدعم حاليًا أسماء النطاقات (Wildcard ، مثل * .yourcompany.com)

.

هذا يعني أنه إذا كان عملك كبيرًا ، فيجب عليك فتح 50 نطاقات مختلفة من المستوى الثاني في المستقبل (مثل

Blog.

،

Shop.

،

البريد.

،

Api.

) ، لا يمكنك استخدام حزمة شهادة لمحاربة العالم.

حل تجنب الحفرة: تدعم الشهادة الوحيدة التي تديرها Google ما يصل إلى 100 اسم نطاق. يمكنك ملء جميع أسماء نطاقات المستوى الثاني الخمسين هذه كنص عادي إضافي في نفس قائمة الشهادات. أو ، إذا كنت مزعجًا ، فيمكنك التقدم بطلب للحصول على شهادة البدل باستخدام Let's Encrypt في الخارج ، ثم تحميل الشهادة المخصصة لتثبيتها على الواجهة الأمامية ، ولكن بعد ذلك عليك كتابة البرنامج النصي الخاص بك للصيانة والتجديد. بالنسبة للغالبية العظمى من الشركات ، فإن الأماكن الـ 100 التي تستضيفها Google كافية تمامًا للإسراف.

الخلاصة

باستخدام شهادة استضافة GCP Cloud DNS و Google لإنشاء موقع ، يكمن الجوهر الأساسي في ثماني كلمات:

تحليل الحلقة المغلقة للإنترانت ، قفل استضافة الشهادة

. مع رسوم تحليل DNS منخفضة للغاية ومزايا الشهادة المجانية تمامًا ، جنبًا إلى جنب مع عقدة الحافة الموزعة لمعادل التحميل العالمي من Google ، يمكنك توديع قلق التجديد اليدوي للشهادة كل ثلاثة أشهر في فترة ما بعد الظهر. بغض النظر عن مدى صرامة تدقيق الامتثال في المستقبل ، أو الوصول المتزامن لعدد كبير من المستخدمين ، يمكنك الجلوس أمام الكمبيوتر وتكون مستقرًا مثل جبل تاي.