Nama domain, sijil dan resolusi: mengajar anda bagaimana menggunakan GCP Cloud DNS dengan sijil SSL percuma yang diuruskan oleh Google
Rakan-rakan yang telah membeli nama domain dan membuat laman web kebanyakannya mengalami kesakitan diseksa oleh pelbagai "rekod resolusi", "sijil SSL", dan "ralat berjabat tangan HTTPS".
Proses pembinaan laman web tradisional adalah seperti ini: anda membeli nama domain dari pengeluar A, pergi ke pengeluar B untuk mendapatkan resolusi, dan kemudian pergi ke pengeluar C untuk memohon sijil SSL 90 hari percuma. Setiap tiga bulan, anda harus memperbaharui sijil secara manual seperti pergi ke kubur. Setelah anda terlupa, pengguna akan langsung muncul amaran keselamatan merah darah ketika mereka mengunjungi laman web-"Sambungan anda bukan sambungan peribadi", dan lalu lintas laman web serta-merta Keruntuhan.
Dalam ekosistem Google Cloud(GCP, Google Cloud), terdapat penyelesaian utama yang elegan:
Gunakan Cloud DNS untuk mengawal resolusi nama domain dan bekerjasama dengan sijil SSL percuma yang diuruskan oleh Google (sijil SSL yang dikendalikan oleh Google)
。
Hari ini kami menolak sebarang omong kosong dan tidak menghafal dokumen rasmi. Pegangan membawa anda untuk mengkonfigurasi keseluruhan proses untuk dicapai
Resolusi kedua global nama domain, aplikasi automatik sijil SSL, percuma dan pembaharuan automatik
Asas emas Internet.
Tahap pertama: pembongkaran mendalam, analisis DNS dan "peraturan tersembunyi" sijil SSL
Sebelum anda mengetuk papan kekunci, anda mesti membuat model dunia fizikal antara nama domain, resolusi dan sijil dalam fikiran anda, jika tidak, anda pasti akan terpegun ketika mengkonfigurasinya kemudian.
Keseluruhan kitaran hayat akses rangkaian boleh dibahagikan kepada dua langkah:
Tahap mencari jalan (resolusi DNS): Pengguna memasukkan www.yourcompany.com dalam penyemak imbas
。 Oleh kerana komputer tidak dapat membaca surat, ia harus bertanya kepada pelayan berwibawa Cloud DNS Google: "Apakah IP pelayan yang sesuai dengan nama domain ini?" DNS membalikkan lejar dan mengembalikan IP (seperti 34.x.x. x). Komputer mendapat IP, dan kemudian menemui pintu pelayan.
Tahap pengesahan (sijil SSL): Ketika saya menjumpai pintu rumah, komputer tidak berani menghantar kata laluan pengguna dan nombor kad kredit secara langsung. Pelayan mengeluarkan sijil SSL untuk membuktikan bahawa "Saya memang pegawai syarikat, bukan penggodam yang berpura-pura." Kedua-dua pihak memukulnya, menarik terowong penyulitan HTTPS, dan data diletakkan dengan selamat.
Pada masa lalu, kedua-dua peringkat ini berpecah. Dan teknologi hitam yang akan kita mainkan hari ini adalah membiarkan
Pengimbang beban Google Cloud secara langsung melaporkan kepada Google Certificate Authority (CA)
, Secara automatik membantu anda mengimpal dua langkah ini dengan lancar.
Tahap kedua: latihan praktikal satu-memindahkan bahagian belakang nama domain ke GCP Cloud DNS
Tidak kira sama ada nama domain anda dibeli di GoDaddy, Namecheap atau Alibaba Cloud, untuk menikmati kelajuan resolusi tahap kedua rangkaian tulang belakang global Google, kita mesti mengembalikan hak resolusi kepada Google.
1. Mewujudkan Kawasan DNS di GCP (Managed Zo
Ne)
Log masuk ke konsol GCP dan cari "Perkhidmatan Rangkaian"-> "Cloud DNS" di menu navigasi di sudut kiri atas.
Klik "Buat Zon" di bahagian atas.
Konfigurasi parameter: Jenis zon: Pilih "Awam". Nama kawasan: berikan nama yang boleh anda fahami (seperti zon syarikat saya). Nama DNS: Isi nama domain utama yang anda beli di luar dengan tepat (contohnya, yourcompany.com, jangan bawa www).
Klik untuk mencipta.
2. Pergi ke pendaftar nama domain untuk mengubah "Power Bod" (rekod NS)
Setelah berjaya dibuat, GCP akan menghasilkan satu secara lalai dalam senarai rekod
Rekod NS
, Yang mengandungi 4 alamat pelayan nama domain rasmi Google (mis.
Ns-cloud-a1.googledomains.com.
Sehingga
A4
)。
Salin 4 alamat ini.
Log masuk ke latar belakang pihak ketiga di mana anda membeli nama domain dan cari "pelayan DNS tersuai" atau "ubah suai DNS".
Padamkan semua alamat pelayan yang pada awalnya disertakan, tampal 4 alamat yang diberikan oleh Google kepada anda, dan klik Simpan.
Orang dalam operasi dan penyelenggaraan Dachang: Tindakan ini disebut "perwakilan kuasa analisis." Sejak itu, pengguna global akan menanyakan nama domain anda, dan lalu lintas akan terus menuju ke simpul tepi DNS Google di seluruh dunia, dan kelajuan resolusi akan dipendekkan dari beberapa jam tradisional hingga beberapa saat.
Tahap ketiga: latihan praktikal dua-satu klik untuk memohon sijil SSL percuma yang diuruskan oleh Google
Dengan asas penyelesaian nama domain, kami akan memohon sijil SSL yang membolehkan laman web menunjukkan "kunci keselamatan hijau". Dalam spesifikasi struktur kilang besar, kami
Jangan sekali-kali memasang sijil secara langsung di mesin maya VMtertentu
, Sebaliknya, ia dipasang secara seragam pada Load Balancer di bahagian depan.
Kami datang ke medan perang konfigurasi rangkaian canggih dan mengkonfigurasi pintu depan penyamaan beban HTTP(S) luaran:
Cari untuk memasuki halaman Load Balancing, klik untuk membuat/mengedit beban penyamaan aplikasi luaran anda.
Beralih ke tab "Konfigurasi Depan".
Protokol (Protokol): Jangan teragak-agak untuk memilih HTTPS untuk menu lungsur turun (Catatan: Hanya dengan memilih HTTPS anda boleh menggantung sijil).
Alamat IP: Sebaiknya pilih IP luaran statik yang anda simpan terlebih dahulu.
Sijil: Klik pada menu lungsur dan pilih "Buat sijil baru".
Perfusi parameter teras: Nama: google-managed-ssl-cert. Buat
Mod bangunan: pilih "Buat sijil pengurusan Google". Domain: Masukkan nama domain dengan tepat yang ingin anda ikat dengan sijil. Sekiranya anda mahu kedua-dua nama domain utama dan nama domain tahap kedua digunakan, tambahkan baris demi baris, seperti mengisi yourcompany.com di baris pertama dan mengisi www.yourcompany.com di baris kedua.
Klik Buat dan simpan konfigurasi bahagian depan.
Tahap keempat: penyatuan jiwa-konfigurasikan rekod dan sijil "mengaktifkan laman web"
Pada masa ini, pengimbang beban telah dibina dan juga diperuntukkan kepada IP statik global (dengan anggapan
35.201.x.x
), Sijil juga memasuki status permohonan. Tetapi pada masa ini anda melihat status sijil, ia akan menunjukkan kesakitan
PROVISIONING (dalam konfigurasi/belum disahkan)
。
Kerana Google Certificate Author (CA) mesti melakukannya sekali sebelum mengeluarkan sijil kepada anda
Pengesahan Cabaran Pemilikan
: Ia mesti diperiksa di laman web awam,
Www.yourcompany.com
Adakah nama domain ini sekarang menunjuk ke IP Google Cloud? Sekiranya tidak betul, ia akan menolak untuk mengeluarkan sijil.
Oleh itu, kita mesti segera pergi ke peringkat kedua untuk membina
Cloud DNS
Di sini, sambungkan jalan penghalaan ini sepenuhnya:
Kembali ke Cloud DNS dan klik untuk memasukkan kawasan nama domain yang telah anda buat sebelumnya.
Klik "Tambah set rekod standard (Tambah set rekod standard)": Nama yang dapat dihuraikan: Sekiranya anda mengkonfigurasi nama domain utama, tetap kosong; jika itu www, masukkan www. Jenis rekod sumber: Pilih rekod A. Alamat IPv4: Isi IP statik global (35.201.x) dengan tepat yang baru anda dapatkan oleh pengimbang beban.
Klik untuk mencipta.
Tempoh menunggu "lampu hijau" yang panjang dan menarik
Apabila rekod A dibuat dalam Cloud DNS, node pengesanan global institusi CA Google akan menangkap rekod ini.
Oleh kerana set lengkap berada dalam gelung tertutup intranet Google, kelajuan pengesahannya sangat cepat. Tunggu kira-kira 10 hingga 20 minit, muat semula halaman depan pengimbang beban, dan anda akan dapati status sijil dari kuning
PROVISIONING
Menjadi hijau
ACTIVE (Diaktifkan)
。
Ketik ht di penyemak imbas
Tps: // www.yourcompany.com
, Halaman dibuka dalam beberapa saat, dan kunci penyulitan yang sempurna yang mewakili tahap keselamatan tertinggi muncul di sebelah kiri bar alamat. Untuk melihat perincian sijil, pihak berkuasa dengan jelas menyatakan:
Perkhidmatan Amanah Google
。
Tahap kelima: sejarah mengelakkan darah dan air mata di bawah struktur perniagaan multinasional
Setelah rancangan ini dikonfigurasi, anda boleh menjadi penjaga kedai sepenuhnya, kerana sijil yang diuruskan oleh Google
Sebelum tamat tempoh
Dalam 30 hari, pembaharuan tidak masuk akal akan dilakukan secara automatik melalui pautan DNS di latar belakang
, Selagi pengimbang beban dan Cloud DNS tidak dihapuskan, sijil tidak akan luput.
Walau bagaimanapun, dalam persekitaran pengeluaran peringkat perusahaan yang sebenarnya, arkitek operasi dan penyelenggaraan biasanya harus melakukan dua konfigurasi pertahanan fizikal berikut untuk menyerahkan kertas jawapan akhir yang sempurna:
1. Memaksa HTTP untuk mengarahkan ke HTTPS secara global (tidak membenarkan pengguna pergi dengan cara yang salah)
Walaupun anda dilengkapi dengan HTTPS, pada hakikatnya, banyak pengguna yang cuai atau pautan persahabatan lama masih akan berlalu
ht
Tp: // yourcompany.com
(Tanpa s) untuk melawat laman web anda. Sekiranya tidak diproses, pengguna akan melihat laman web teks biasa yang tidak selamat, atau secara langsung melihat ralat penyamaan beban.
Operasi spesifikasi tegar: Dalam konfigurasi penyamaan beban GCP, buat bahagian depan bebas yang hanya memantau port HTTP 80, tandakan "Aktifkan peraturan host, jalan dan pengalihan lanjutan" dalam peraturan perutean, dan konfigurasikan sebagai "wajib 301 secara kekal diarahkan ke HTTPS". Dengan cara ini, sebarang lalu lintas yang salah akan dipaksa kembali ke orbit yang disulitkan dalam sekelip mata.
2. Berhati-hati dengan lubang besar "wildcard sijil pelbagai pelanggan"
Sijil percuma yang diuruskan oleh Google mempunyai sedikit penyesalan:
Ia kini tidak menyokong nama domain wildcard (Wildcard seperti *.yourcompany.com)
。
Ini bermaksud bahawa jika syarikat anda mempunyai perniagaan yang besar, anda akan membuka 50 nama domain tahap kedua yang berbeza pada masa akan datang (seperti
Blog.
,
Kedai.
,
Mel.
,
Api.
), Anda tidak boleh menggunakan sijil untuk merangkumi dunia.
Kaedah mengelakkan lubang: Satu sijil yang diuruskan oleh Google menyokong pengikatan hingga 100 nama domain. Anda boleh memasukkan semua 50 nama domain tahap kedua ini ke dalam senarai sijil yang sama sebagai teks tambahan. Atau, jika anda merasa menyusahkan, anda boleh menggunakan Let's Encrypt untuk memohon sijil wildcard di luar, dan kemudian memuat naik sijil tersuai ke bahagian depan, tetapi anda harus menulis skrip untuk mengekalkan pembaharuan. Bagi kebanyakan syarikat, 100 tempat yang dihoskan oleh Google cukup untuk mensia-siakan.
Ringkasan
Menggunakan GCP Cloud DNS dan sijil hosting Google untuk membina laman web, inti intinya terletak pada lapan perkataan:
Analisis gelung tertutup intranet, kunci hosting sijil
。 Dengan bayaran resolusi DNS yang sangat rendah dan faedah sijil percuma, bersama dengan simpul tepi yang diedarkan dari pengimbang beban global Google, anda boleh mengucapkan selamat tinggal kepada kegelisahan pembaharuan sijil secara manual setiap suku tahun dalam satu petang. Tidak kira seberapa ketat audit pematuhan atau akses serentak oleh sebilangan besar pengguna, anda boleh duduk di depan komputer dan tetap stabil.