如何在 Google Cloud 负载均衡器上更新 SslCertificate 资源？

Question 1

在 Google 的全球 HTTP 负载均衡器上，每个 HTTPS 目标代理都链接到一个证书。您可以使用 gcloud 工具（预安装在 GCE 映像上）使用新证书更新目标代理。但请确保：

您的 gcloud 版本相对较新。target-https-proxies 命令是最近才添加的，因此它们不存在于旧版本的 gcloud 中。（不要与target-http-proxies管理纯文本 HTTP 站点的混淆）
您的续订服务器具有 Compute Engine 资源的 API 访问权限。您可以在 GCE 模板中或逐个实例地进行配置。

您可以向 gcloud 查询当前证书，以检查它是否即将过期。如果是，您可以上传新证书，然后使用命令target-https-proxies update切换到新证书。您不会立即看到更改，但很快，更新的证书就会全局安装。

SSL 证书的使用配额为 30 个（至少在我的帐户中）。但是，如果您的续订不是太激进，即使续订脚本没有清除过期证书，也不会有任何问题。最好保留至少 1 个旧证书，以防出现问题而需要恢复。

Answer

在 Google 的全球 HTTP 负载均衡器上，每个 HTTPS 目标代理都链接到一个证书。您可以使用 gcloud 工具（预安装在 GCE 映像上）使用新证书更新目标代理。但请确保：

您的 gcloud 版本相对较新。target-https-proxies 命令是最近才添加的，因此它们不存在于旧版本的 gcloud 中。（不要与target-http-proxies管理纯文本 HTTP 站点的混淆）
您的续订服务器具有 Compute Engine 资源的 API 访问权限。您可以在 GCE 模板中或逐个实例地进行配置。

您可以向 gcloud 查询当前证书，以检查它是否即将过期。如果是，您可以上传新证书，然后使用命令target-https-proxies update切换到新证书。您不会立即看到更改，但很快，更新的证书就会全局安装。

SSL 证书的使用配额为 30 个（至少在我的帐户中）。但是，如果您的续订不是太激进，即使续订脚本没有清除过期证书，也不会有任何问题。最好保留至少 1 个旧证书，以防出现问题而需要恢复。

Question 2

看来 Google 为您提供了另一种解决方案，您可以创建新证书，创建新的 SslCertificate 资源并将其放在负载平衡器上。如果新证书有问题，它将允许您在不停机的情况下更改证书。最后，您可以删除过期的 SslCertificate 资源。

Answer

看来 Google 为您提供了另一种解决方案，您可以创建新证书，创建新的 SslCertificate 资源并将其放在负载平衡器上。如果新证书有问题，它将允许您在不停机的情况下更改证书。最后，您可以删除过期的 SslCertificate 资源。

相关内容