如何在 Google Kubernetes 上启用 Google 托管证书？

Question

我是 GKE 的新手，现在正在尝试为 RASA 创建一个新集群。我正在尝试使用 HTTPS 创建一个入口以指向此集群中的负载均衡器。但我无法Create Google-managed certificate从列表中选择该选项。它似乎在此集群中被禁用。如何启用这个？

帮助显示：

要创建 Google 管理的证书，您的集群需要存在 ManagedCertificate自定义资源定义。

Answer 1

由于您没有提供您所遵循的步骤，我将演示如何以正确的方式进行操作。

首先，如果您检查使用 Ingress 设置 HTTP(S) 负载均衡，您会发现 GKE 集成了对两种类型的 Cloud Load Balancing 的支持：

当您type:LoadBalancer在资源清单中指定时，GKE 会创建一个Serviceof 类型LoadBalancer。

当您type:Ingress在资源清单中指定时，您将指示 GKE 创建Ingress资源。通过包含注释并支持工作负载和服务，您可以创建自定义Ingress controller. ...负载均衡器的 URL 映射的主机规则和路径匹配器引用一个或多个后端服务，其中每个后端服务对应于 NodePort 类型的 GKE 服务，如 Ingress 中所引用

在 GKE 文档的另一部分中，与使用 Google 管理的 SSL 证书相关，您可以找到两个重要说明：

此功能仅适用于外部 HTTP(S) 负载平衡的 Ingress。

托管证书是所有 GKE 版本中都提供的 Beta 功能。在主节点运行 Kubernetes 版本低于 1.16.5-gke.1 的集群中，托管证书在版本 v1beta1 中可用，并且它们不支持每个证书多个使用者备用名称 (SAN)。

在 GKE 1.16.5-gke.1 及更高版本中，v1beta2 版本提供托管证书，每个证书最多支持 100 个 SAN，v1beta1 版本也仍然可用。

我测试了一些场景，包括LoadBalancer和NodePort作为服务类型。在 RASA-X 图表中，服务是一种LoadBalancer类型。在我所有的测试中，当我想要的时候Create Google Managed Certificate，它只适用于NodePort.

您是否尝试编辑此服务并将其更改为NodePort？

一个很好的检查示例是遵循本教程。

如果您仍然遇到相同的问题，请提供有关您的环境以及重现问题的步骤的更多信息。