ชื่อโดเมนใบรับรองและความละเอียด: สอนการใช้ GCP Cloud DNS และใบรับรอง SSL ฟรีที่จัดการโดย Google

เมฆ 2026-05-30 阅读 15

เพื่อนๆส่วนใหญ่ที่ซื้อชื่อโดเมนและตั้งค่าเว็บไซต์ต้องเผชิญกับความเจ็บปวดจากการถูกทรมานจาก "บันทึกความละเอียด" "ใบรับรอง SSL" และ "HTTPS จับมือกันและรายงานข้อผิดพลาด"

ขั้นตอนการสร้างเว็บไซต์แบบดั้งเดิมมีดังนี้: คุณซื้อชื่อโดเมนจากผู้ผลิต A ไปที่ผู้ผลิต B เพื่อติดตั้งความละเอียดจากนั้นไปที่ผู้ผลิต C เพื่อยื่นขอใบรับรอง SSL ฟรี90วันทุกๆสามเดือนคุณต้องต่ออายุใบรับรองด้วยตนเองเหมือนไปที่หลุมศพของคุณเมื่อคุณลืมผู้ใช้ที่เข้าชมเว็บไซต์จะปรากฏคำเตือนด้านความปลอดภัยสีแดงเลือด-"การเชื่อมต่อของคุณไม่ใช่การเชื่อมต่อส่วนตัว" และการเข้าชมเว็บไซต์จะเกิดขึ้นทันทีความผิดพลาด

ในระบบนิเวศของ Google Cloud(GCP, Google Cloud) มีโซลูชันที่ดีที่สุดที่เรียกได้ว่าสง่างาม:

ใช้ Cloud DNS เพื่อจัดการการแก้ปัญหาชื่อโดเมนและทำงานร่วมกับใบรับรอง SSL ฟรีที่จัดการโดย Google (Google-managed SSL certificates)

。

วันนี้เราปฏิเสธเรื่องไร้สาระและไม่จดจำเอกสารอย่างเป็นทางการจับมือคุณเพื่อกำหนดค่ากระบวนการทั้งหมดเพื่อให้บรรลุ

ความละเอียดระดับโลกของชื่อโดเมน, แอปพลิเคชันอัตโนมัติสำหรับใบรับรอง SSL, ฟรีถาวรและการต่ออายุอัตโนมัติ

รากฐานทองคำของอินเทอร์เน็ต

ขั้นตอนที่1: การแยกลึกการแยกวิเคราะห์ DNS และ "กฎที่ซ่อนอยู่" ของใบรับรอง SSL

ก่อนที่จะพิมพ์บนแป้นพิมพ์คุณต้องสร้างแบบจำลองโลกทางกายภาพระหว่างชื่อโดเมนความละเอียดและใบรับรองในใจของคุณมิฉะนั้นคุณจะสับสนเมื่อกำหนดค่าในภายหลัง

วงจรชีวิตของการเข้าถึงเครือข่ายทั้งหมดสามารถแบ่งออกเป็นสองขั้นตอน:

ขั้นตอนการค้นหาเส้นทาง (ความละเอียด DNS): ผู้ใช้ป้อน www.yourcompany.com ในเบราว์เซอร์

。เนื่องจากคอมพิวเตอร์ไม่เข้าใจตัวอักษรจึงต้องถามเซิร์ฟเวอร์ DNS ที่เชื่อถือได้ของ Cloud ของ Google ว่า "IP ของเซิร์ฟเวอร์ที่ตรงกับชื่อโดเมนนี้คืออะไร" DNS พลิกสมุดบัญชีและส่งคืน IP (เช่น34.x. x.x) คอมพิวเตอร์ได้รับ IP จากนั้นฉันก็พบประตูของเซิร์ฟเวอร์

ขั้นตอนการตรวจสอบ (ใบรับรอง SSL): เมื่อคุณพบประตูคอมพิวเตอร์ไม่กล้าส่งรหัสผ่านและหมายเลขบัตรเครดิตของผู้ใช้โดยตรงต้องตรวจสอบรหัสผ่านกับเซิร์ฟเวอร์เซิร์ฟเวอร์หยิบใบรับรอง SSL ออกมาเพื่อพิสูจน์ว่า "ฉันเป็นบริษัทอย่างเป็นทางการไม่ใช่แฮกเกอร์ปลอม" ทั้งสองฝ่ายตีมันดึงอุโมงค์เข้ารหัส HTTPS ขึ้นและข้อมูลก็ปลอดภัย

ในอดีตทั้งสองขั้นตอนนี้แยกออกจากกันและเทคโนโลยีสีดำที่เราจะเล่นในวันนี้คือการปล่อยให้

ตัวโหลดบาลานซ์ของ Google Cloud ส่งตรงไปยังผู้ออกใบรับรองของ Google (CA) ไปยังรหัสลับ

, ช่วยคุณเชื่อมสองขั้นตอนนี้โดยอัตโนมัติอย่างราบรื่น

ขั้นตอนที่สอง: แบบฝึกหัดการต่อสู้จริง1-โอนชื่อโดเมนไปยัง GCP Cloud DNS

ไม่ว่าชื่อโดเมนของคุณจะซื้อบน GoDaddy, Namecheap หรือ Alibaba Cloud เพื่อที่จะเพลิดเพลินไปกับความเร็วในการแก้ปัญหาที่สองของเครือข่ายกระดูกสันหลังทั่วโลกของ Google เราต้องคืนสิทธิ์ในการแก้ไขให้กับ Google

1.สร้างพื้นที่ DNS ใน GCP (Managed Zo

Ne)

ลงชื่อเข้าใช้คอนโซล GCP และค้นหา "Network Services"-> "Cloud DNS" ในเมนูนำทางที่มุมบนซ้าย

คลิกที่ "Create Zone" ที่ด้านบน

การกำหนดค่าพารามิเตอร์: ประเภทพื้นที่: เลือก "เปิด (Public)" ชื่อพื้นที่: ตั้งชื่อที่คุณเข้าใจได้ (เช่นบริษัทของฉัน) ชื่อ DNS: กรอกชื่อโดเมนหลักที่คุณซื้อจากภายนอกอย่างถูกต้อง (เช่น yourcompany.com อย่านำ www)

คลิกสร้าง

2.ไปที่ผู้รับจดทะเบียนชื่อโดเมนเพื่อแก้ไข "Power Handover Stick" (บันทึก NS)

หลังจากสร้างสำเร็จ GCP จะสร้างขึ้นโดยค่าเริ่มต้นในรายการบันทึก

ระเบียน NS

ซึ่งมีที่อยู่เซิร์ฟเวอร์ชื่อโดเมนอย่างเป็นทางการของ Google 4รายการ (เช่น

Ns-cloud-a1.googledomains.com.

จนถึง

)。

คัดลอก4ที่อยู่นี้

ลงชื่อเข้าใช้พื้นหลังของบุคคลที่สามที่คุณซื้อชื่อโดเมนและค้นหา "Custom Nameservers" หรือ "แก้ไขการแก้ไข DNS"

ลบที่อยู่เซิร์ฟเวอร์เดิมทั้งหมดโพสต์ที่อยู่4รายการที่ Google มอบให้คุณแล้วคลิกบันทึก

เรื่องราวภายในของการดำเนินการและการบำรุงรักษาของ Dachang: การกระทำนี้เรียกว่า "การมอบหมายอำนาจการวิเคราะห์" จากนั้นผู้ใช้ทั่วโลกจะสอบถามชื่อโดเมนของคุณอีกครั้งและการเข้าชมจะตรงไปยังโหนดขอบ DNS ของ Google ทั่วโลกและความเร็วในการแก้ปัญหาจะสั้นลงจากเดิมไม่กี่ชั่วโมงเหลือเพียงไม่กี่วินาที

ขั้นตอนที่สาม: แบบฝึกหัดการต่อสู้จริง2-คลิกเดียวเพื่อสมัครใบรับรอง SSL ฟรีที่จัดการโดย Google

ด้วยรากฐานการแก้ปัญหาชื่อโดเมนเราจะต้องยื่นขอใบรับรอง SSL ที่สามารถทำให้เว็บไซต์สว่างขึ้น "ล็อคความปลอดภัยสีเขียว" ในข้อกำหนดโครงสร้างโรงงานขนาดใหญ่เรา

อย่าติดตั้งใบรับรองโดยตรงในเครื่องเสมือน VM

แต่ติดตั้งอย่างสม่ำเสมอบน Load Balancer ที่ส่วนหน้า

เรามาถึงสนามรบการกำหนดค่าเครือข่ายขั้นสูง, การกำหนดค่าภายนอก HTTP(S) โหลดควอไลเซอร์ประตูด้านหน้า:

ค้นหาไปที่โหลดบาลานซ์หน้าคลิกสร้าง/แก้ไขโหลดบาลานซ์แอปภายนอกของคุณ

สลับไปที่แท็บ "Frontend Configuration"

โปรโตคอล: เมนูแบบเลื่อนลงไม่ลังเลที่จะเลือก HTTPS (หมายเหตุ: เลือกเฉพาะ HTTPS เพื่อแขวนใบรับรอง)

ที่อยู่ IP: ขอแนะนำให้เลือก IP ภายนอกแบบคงที่ที่คุณจองไว้ล่วงหน้า

ใบรับรอง: คลิกเมนูแบบเลื่อนลงแล้วเลือก "สร้างใบรับรองใหม่"

การใส่พารามิเตอร์หลัก: ชื่อ: google-managed-ssl-cert 。สร้าง

สร้างโหมด: เลือก "สร้างใบรับรองที่จัดการโดย Google" โดเมน: ป้อนชื่อโดเมนที่คุณต้องการผูกใบรับรองอย่างถูกต้องหากคุณต้องการให้ทั้งชื่อโดเมนหลักและชื่อโดเมนระดับที่สองให้เพิ่มหนึ่งบรรทัดเช่นกรอก yourcompany.com ในบรรทัดแรกและ www.yourcompany.com ในบรรทัดที่สอง

คลิกสร้างและบันทึกการกำหนดค่าส่วนหน้า

ขั้นตอนที่สี่: การกำหนดค่าการรวมวิญญาณบันทึกและใบรับรอง "การเปิดใช้งานไซต์"

ในขณะนี้มีการสร้างตัวจัดสรรภาระงานและยังได้รับการจัดสรร IP แบบคงที่ทั่วโลก (สมมติว่าเป็น

35.201 .x.x

) ใบรับรองยังเข้าสู่สถานะการสมัครแต่ตอนนี้คุณดูสถานะใบรับรองแล้วมันจะแสดงความเจ็บปวด

PROVISIONING (การกำหนดค่า/ยืนยัน)

。

เนื่องจากผู้ออกใบรับรองของ Google (CA) ต้องทำครั้งเดียวก่อนที่จะออกใบรับรองให้คุณ

การตรวจสอบความท้าทายความเป็นเจ้าของ

: ต้องตรวจสอบบนเว็บไซต์สาธารณะ

Www.yourcompany.com

ชื่อโดเมนนี้ชี้ไปที่ IP ของ Google Cloud หรือไม่? หากไม่ถูกต้องก็จะปฏิเสธที่จะออกใบรับรอง

ดังนั้นเราต้องไปที่ขั้นตอนที่สองของการก่อสร้างทันที

Cloud DNS

ที่นี่เส้นทางเส้นทางนี้เชื่อมต่ออย่างสมบูรณ์:

กลับไปที่ Cloud DNS คลิกเพื่อเข้าสู่พื้นที่ชื่อโดเมนที่คุณสร้างไว้ก่อนหน้านี้

คลิก "เพิ่มชุดบันทึกมาตรฐาน": แก้ไขชื่อโดเมน: หากเป็นการกำหนดค่าชื่อโดเมนหลักให้เก็บไว้ว่างหากเป็น www ให้ป้อน www ประเภทบันทึกทรัพยากร: เลือกระเบียนที่อยู่ IPv4: กรอก IP แบบคงที่ทั่วโลก (35.201 .x.x) ที่คุณเพิ่งได้รับจากตัวโหลดบาลานซ์

คลิกสร้าง

ระยะเวลารอคอย "ไฟเขียว" ที่ยาวนานและน่าตื่นเต้น

เมื่อสร้างระเบียน A ใน Cloud DNS โหนดการตรวจจับทั่วโลกของสถาบัน CA ของ Google จะรวบรวมข้อมูลระเบียนนี้

เนื่องจากชุดเต็มอยู่ในวงปิดอินทราเน็ตของ Google ความเร็วในการตรวจสอบจึงเร็วมากรอประมาณ10ถึง20นาทีรีเฟรชหน้าส่วนหน้าของตัวโหลดบาลานซ์และคุณจะพบว่าสถานะใบรับรองเปลี่ยนจากสีเหลือง

PROVISIONING

กลายเป็นสีเขียว

ACTIVE (เปิดใช้งาน)

。

พิมพ์ ht ในเบราว์เซอร์

Tps: // www.yourcompany.com

, หน้าจะเปิดในไม่กี่วินาทีและล็อคการเข้ารหัสที่สมบูรณ์แบบซึ่งแสดงถึงระดับความปลอดภัยสูงสุดจะปรากฏขึ้นที่ด้านซ้ายของแถบที่อยู่ตรวจสอบรายละเอียดของใบรับรองหน่วยงานที่ออกใบรับรองระบุไว้อย่างชัดเจน:

Google Trust Services

。

ขั้นตอนที่ห้า: ประวัติความเป็นมาของการหลีกเลี่ยงเลือดและน้ำตาภายใต้โครงสร้างธุรกิจข้ามชาติ

หลังจากกำหนดค่าแผนนี้แล้วคุณสามารถเป็นเจ้าของร้านได้อย่างสมบูรณ์เนื่องจากใบรับรองที่จัดการโดย Google

ก่อนหมดอายุ

ใน30วันการต่ออายุจะดำเนินการโดยอัตโนมัติผ่านลิงค์ DNS ในพื้นหลัง

ตราบใดที่โหลดบาลานเซอร์และ Cloud DNS ของคุณไม่ถูกลบใบรับรองจะไม่หมดอายุ

อย่างไรก็ตามในสภาพแวดล้อมการผลิตระดับองค์กรจริงสถาปนิกการดำเนินงานและการบำรุงรักษามักจะต้องทำการกำหนดค่าการป้องกันทางกายภาพสองแบบต่อไปนี้เพื่อให้เป็นคำตอบสุดท้ายที่สมบูรณ์แบบ:

1.บังคับให้ HTTP เปลี่ยนเส้นทางทั่วโลกไปยัง HTTPS (ไม่อนุญาตให้ผู้ใช้ไปผิดทาง)

แม้ว่าคุณจะมี HTTPS แต่ในความเป็นจริงผู้ใช้ที่ประมาทหรือลิงค์มิตรภาพเก่าๆจำนวนมากจะยังคงผ่านไป

Tp: // yourcompany.com

(ไม่มี s) เพื่อเยี่ยมชมเว็บไซต์ของคุณหากไม่ได้รับการประมวลผลผู้ใช้จะเห็นหน้าเว็บข้อความธรรมดาที่ไม่ปลอดภัยหรือเห็นข้อผิดพลาดของตัวโหลดบาลานซ์โดยตรง

การดำเนินการข้อกำหนดฮาร์ดคอร์: ในการกำหนดค่าโหลดบาลานซ์ GCP ให้สร้างส่วนหน้าอิสระที่ตรวจสอบเฉพาะพอร์ต HTTP 80ตรวจสอบ "เปิดใช้งานโฮสต์ขั้นสูงเส้นทางและกฎการเปลี่ยนเส้นทาง" ในกฎการกำหนดเส้นทางและกำหนดค่าเป็น "บังคับ301เปลี่ยนเส้นทางถาวรไปยัง HTTPS" ด้วยวิธีนี้การจราจรที่ผิดพลาดจะถูกบังคับให้กลับไปที่แทร็กที่เข้ารหัสทันที

2.ระวังหลุมขนาดใหญ่ของ "สัญลักษณ์ตัวแทนใบรับรองลูกค้าหลายราย"

ใบรับรองฟรีที่จัดการโดย Google มีความเสียใจเล็กน้อย:

ขณะนี้ไม่สนับสนุนชื่อโดเมนสัญลักษณ์ (Wildcard เช่น *.yourcompany.com)

。

ซึ่งหมายความว่าหากบริษัทของคุณมีธุรกิจขนาดใหญ่คุณจะเปิดชื่อโดเมนระดับที่สองที่แตกต่างกัน50ชื่อ (เช่น

Blog.

、

Shop.

、

เมล

、

Api.

) คุณไม่สามารถใช้แพ็คเกจใบรับรองเพื่อเอาชนะโลกได้

วิธีแก้ปัญหา: ใบรับรองเดียวที่จัดการโดย Google รองรับการผูกชื่อโดเมนได้ถึง100ชื่อคุณสามารถกรอกชื่อโดเมนระดับที่สองทั้งหมด50ชื่อเป็นข้อความที่เพิ่มขึ้นในรายการใบรับรองเดียวกันหรือหากคุณพบว่ามันยุ่งยากคุณสามารถใช้ Let's Encrypt เพื่อสมัครใบรับรองสัญลักษณ์แทนภายนอกจากนั้นอัปโหลดใบรับรองที่กำหนดเองและติดตั้งไปยังส่วนหน้าได้แต่คุณต้องเขียนสคริปต์ของคุณเองเพื่อรักษาการต่ออายุสำหรับบริษัทส่วนใหญ่100แห่งที่ Google โฮสต์นั้นเพียงพอที่จะใช้จ่ายสุรุ่ยสุร่าย

สรุป

การใช้ GCP Cloud DNS และ Google Hosting Certificate เพื่อสร้างเว็บไซต์สาระสำคัญอยู่ที่แปดคำ:

วิเคราะห์วงปิดของอินทราเน็ตและล็อคการโฮสต์ใบรับรอง

。ด้วยค่าธรรมเนียมการวิเคราะห์ DNS ที่ต่ำมากและสิทธิประโยชน์ของใบรับรองที่ไม่เสียค่าใช้จ่ายใดๆร่วมกับโหนดขอบแบบกระจายของตัวปรับภาระงานทั่วโลกของ Google คุณสามารถอำลาความวิตกกังวลในการต่ออายุใบรับรองด้วยตนเองทุกไตรมาสในช่วงบ่ายไม่ว่าคุณจะต้องเผชิญกับการปฏิบัติตามข้อกำหนดและการตรวจสอบการปฏิบัติตามข้อกำหนดที่เข้มงวดเพียงใดหรือการเข้าถึงพร้อมกันของผู้ใช้จำนวนมากคุณก็สามารถนั่งอยู่หน้าคอมพิวเตอร์ได้อย่างมั่นคง