域名、證書與解析:手把手教您使用 GCP Cloud DNS 與 Google 管理的免費 SSL 證書
買過域名、搭過網站的朋友,大都經歷過被各種「解析記錄」、「SSL 證書」、「HTTPS 握手報錯」折磨的痛苦。
傳統的建站流程是這樣的:你在 A 廠商買了域名,去 B 廠商配了解析,再去 C 廠商申請了一個免費 90 天的 SSL 證書。 每隔三個月,你就得像上墳一樣驚心動魄地手動續簽一次證書,一旦忘了,用戶訪問網站就會直接彈出一個血紅色的安全警告--「您的連接不是私密連接」,網站流量瞬間崩盤。
在 Google Cloud(GCP,谷歌雲)的生態裡,有一個堪稱優雅的終極解決方案:
利用 Cloud DNS 掌管域名解析,配合 Google 管理的免費 SSL 證書(Google-managed SSL certificates)
。
今天我們拒絕任何廢話,不背官方文檔。 手把手帶你配置全流程,實現
域名全球秒級解析、SSL 證書自動申請、永久免費且自動續期
的互聯網黃金地基。
第一階段:深度拆解,DNS 解析與 SSL 證書的「潛規則」
在動手敲鍵盤之前,你必須在腦子裡建立起域名、解析和證書三者之間的物理世界模型,否則你後面配置時一定會套娃套暈。
整個網絡訪問的生命周期可以分為兩步:
尋路階段(DNS 解析):用戶在瀏覽器輸入 www.yourcompany.com
。 由於電腦看不懂字母,它得去問谷歌的 Cloud DNS 權威服務器:「這個域名對應的服務器 IP 是多少?」 DNS 翻了翻賬本,返回一個 IP(比如 34.x.x.x)。 電腦拿到 IP,這才找到了服務器的家門口。
驗明正身階段(SSL 證書):找到了家門口,電腦不敢直接把用戶的密碼、信用卡號傳過去,它得跟服務器對暗號。 服務器掏出一張 SSL 證書,證明「我確實是 yourcompany 官方,不是黑客冒充的」。 雙方一拍即合,拉起一條 HTTPS 加密隧道,數據安全落盤。
過去,這兩個階段是割裂的。 而今天我們要玩的黑科技,是讓
谷歌雲的負載均衡器直接向谷歌證書頒發機構(CA)對暗號
,自動幫你把這兩步給無縫焊死。
第二階段:實戰演練一--將域名大後方移交 GCP Cloud DNS
不管你的域名是在 GoDaddy、Namecheap 還是阿里雲買的,為了享受谷歌全球骨幹網的秒級解析生效速度,我們要把解析權收歸谷歌。
1. 在 GCP 創建 DNS 區域(Managed Zo
Ne)
登錄 GCP 控制台,左上角導航菜單找到 「網絡服務(Network Services)」 -> 「Cloud DNS」。
點擊頂部的 「創建區域(Create Zone)」。
參數配置:區域類型:選擇 「公開(Public)」。 區域名稱:起個你能看懂的名字(如 my-company-zone)。 DNS 名稱:精準填入你在外面買的主域名(例如 yourcompany.com,不要帶 www)。
點擊創建。
2. 去域名註冊商修改「權力交接棒」(NS 記錄)
創建成功後,GCP 會在記錄列表里默認生成一條
NS 記錄
,裡面包含 4 個谷歌官方的域名服務器地址(例如
Ns-cloud-a1.googledomains.com.
一直到
A4
)。
複製這 4 個地址。
登錄你買域名的第三方後台,找到「自定義 DNS 服務器(Custom Nameservers)」或「修改 DNS 修改」。
把裡面原本自帶的服務器地址全部刪掉,貼入谷歌給你的這 4 個地址,點擊保存。
大廠運維內幕:這個動作叫「解析權委派」。 從此以後,全球用戶再查詢你的域名,流量直接走谷歌遍布全球的 DNS 邊緣節點,解析生效速度從傳統的幾小時縮短到幾秒鐘。
第三階段:實戰演練二--一鍵申請 Google 管理的免費 SSL 證書
有了域名解析地基,接下來我們要去申請那張能讓網站亮起「綠色安全小鎖」的 SSL 證書。 在大廠架構規範里,我們
絕對不把證書直接裝在某台 VM 虛擬機里
,而是把它統一掛載在最前端的負載均衡器(Load balancer)上。
我們來到高級網絡配置戰場,配置外部 HTTP(S) 負載均衡器的前端大門:
搜索進入 負載均衡(Load Balancing) 頁面,點擊創建/編輯你的外部應用負載均衡器。
切換到 「前端配置(Frontend Configuration)」 標籤頁。
協議(Protocol):下拉菜單毫不猶豫選擇 HTTPS(註:只有選 HTTPS 才能掛證書)。
IP 地址:建議選擇一個你提前預留好的靜態外部 IP。
證書(Certificate):點擊下拉菜單,選擇 「創建新證書(Create a new certificate)」。
核心參數灌注:名稱:google-managed-ssl-cert。 創
建模式:選擇 「創建 Google 管理的證書(Create Google-managed certificate)」。 網域(Domains):精準輸入你要綁定證書的域名。 如果你想讓主域名和二級域名都能用,就一行行添加,比如第一行填 yourcompany.com,第二行填 www.yourcompany.com。
點擊創建並保存前端配置。
第四階段:靈魂合體--配置 A 記錄與證書「激活現場」
此時,負載均衡器已經建好了,也分配到了一個全局靜態 IP(假設是
35.201.x.x
),證書也進入了申請狀態。 但這時候你去看證書狀態,它會顯示痛苦的
PROVISIONING(配置中/待驗證)
。
因為谷歌證書頒發機構(CA)在把證書頒發給你之前,必須做一次
所有權挑戰驗證
:它得去公網上查一下,
Www.yourcompany.com
這個域名現在到底是不是指向谷歌雲的這個 IP。 如果對不上,它就會拒絕發證。
所以,我們必須立刻去第二階段建好的
Cloud DNS
里,把這條路由通路給徹底接通:
回到 Cloud DNS,點擊進入你之前建好的域名區域。
點擊 「添加標準記錄集(Add standard record set)」:可解析網域(Routing Name):如果是配置主域名,保持為空;如果是 www,輸入 www。 資源記錄類型:選擇 A 記錄。 IPv4 地址:精準填入你剛才負載均衡器拿到的那個全局靜態 IP(35.201.x.x)。
點擊創建。
漫長而激動的「亮綠燈」等待期
當 A 記錄在 Cloud DNS 里創建好的瞬間,谷歌的 CA 機構在全球的探測節點就會抓取到這條記錄。
由於全套都在谷歌內網閉環,驗證速度極快。 大約等 10 到 20 分鐘,刷新負載均衡器的前端頁面,你會發現證書狀態從黃色的
PROVISIONING
變成了綠色的
ACTIVE(已激活)
。
在瀏覽器里敲入 ht
Tps://www.yourcompany.com
,頁面瞬間秒開,地址欄左側出現了一把完美的、代表最高安全等級的加密小鎖。 查看證書詳情,頒發機構明明白白寫著:
Google Trust Services
。
第五階段:跨國業務架構下的避坑血淚史
這套方案配置完,你就可以徹底當甩手掌櫃了,因為谷歌管理的證書
在到期前
30 天,會在後台自動通過 DNS 鏈路進行無感續簽
,只要你的負載均衡器和 Cloud DNS 不刪,證書永遠不會過期。
但在實際的企業級生產環境裡,運維架構師通常還要順手做下面兩個物理防禦配置,才算交出一份完美的期末答卷:
1. 強制 HTTP 全局重定向到 HTTPS(不讓用戶走錯路)
雖然你配好了 HTTPS,但現實中很多粗心的用戶或者老舊的友情鍊接,依然會通過
ht
Tp://yourcompany.com
(不帶 s)來訪問你的網站。 如果不做處理,用戶會看到一個不安全的明文網頁,或者直接看到負載均衡器的報錯。
硬核規範操作:在 GCP 負載均衡器配置里,創建一個獨立的、只監聽 HTTP 80 端口 的前端,在路由規則裡勾選 「啟用高級主機、路徑和重定向規則」,將其配置為 「強制 301 永久重定向到 HTTPS」。 這樣,任何走錯路的流量都會被瞬間強行掰回加密軌道。
2. 警惕「多客戶端證書通配符」的大坑
谷歌管理的免費證書有一個小小的遺憾:
它目前不支持通配符域名(Wildcard,如 *.yourcompany.com)
。
這意味著,如果你公司業務龐大,未來要開 50 個不同的二級域名(如
Blog.
、
Shop.
、
Mail.
、
Api.
),你不能用一張證書包打天下。
避坑解法:單張 Google 管理的證書最多支持綁定 100 個域名。 你可以把這 50 個二級域名全部當做增量明文填進同一張證書列表里。 或者,如果嫌麻煩,可以自己在外面用 Let's Encrypt 申請通配符證書,再通過 上傳自定義證書 掛載到前端,但這樣你就得自己寫腳本去維護續簽了。 對於絕大多數企業,谷歌託管的 100 個名額完全足夠揮霍。
總結
利用 GCP Cloud DNS 與 Google 託管證書建站,核心精髓就在於八個字:
解析內網閉環,證書託管落鎖
。 用極低的 DNS 解析費和完全免費的證書福利,配合谷歌全球負載均衡器的分布式邊緣節點,你就能在一下午的時間內,徹底告別每季度手動續簽證書的焦慮。 前方無論面對多麼嚴苛的合規合規審計,還是海量用戶的並發訪問,你都能坐在電腦前,穩如泰山。
