Score:3

วิธีย้ายข้อมูลไปยังใบรับรองที่จัดการโดย Google โดยไม่มีการหยุดทำงาน

ธง in

ฉันกำลังจะย้าย example.com จากผู้ให้บริการโฮสติ้งภายนอก (ที่ไม่ใช่ของ Google) ไปยัง GCP

เมื่อตั้งค่าโหลดบาลานเซอร์ ฉันสังเกตเห็นว่าฉันต้องชี้ example.com ไปที่โหลดบาลานเซอร์เพื่อให้ใบรับรองที่จัดการโดย Google ตรวจสอบความถูกต้อง

ฉันควรจะเปลี่ยนบันทึก A ของ example.com เป็น IP (คงที่) ของโหลดบาลานเซอร์ใหม่ - จากนั้นจะตรวจสอบความถูกต้อง

ปัญหาคือว่าฉันมีทราฟฟิกไปที่ example.com อยู่แล้ว คำขอที่เกิดขึ้นหลังจากที่ example.com เริ่มชี้ไปที่โหลดบาลานเซอร์ แต่ก่อนที่จะตรวจสอบใบรับรอง จะทำให้เกิดข้อผิดพลาด SSL และผู้ใช้ไม่พอใจมาก

มีใครแก้ปัญหานี้หรือไม่? ฉันรู้ว่ามีวิธีที่จะ หลีกเลี่ยงการหยุดทำงานเมื่อ หมุน ใบรับรองแต่ต้องมีวิธีบางอย่างในการโยกย้ายไซต์ขนาดใหญ่โดยไม่ต้องหยุดทำงาน

Score:2
ธง cn

คุณจะมีเวลาหยุดทำงาน

คุณสามารถปฏิบัติตามคำแนะนำเหล่านี้เพื่อลดเวลาหยุดทำงานให้เหลือน้อยที่สุด ด้วยการวางแผนที่เหมาะสม เวลาหยุดทำงานจะสั้นมากและในบางกรณี การลองใหม่อัตโนมัติจะทำให้ลูกค้าไม่เห็นสิ่งนี้

อย่างไรก็ตาม ฉันไม่ทราบการออกแบบไซต์ของคุณ การใช้คุกกี้ การตรวจสอบสิทธิ์ การจัดการเซสชัน ฯลฯ อาจมีการหยุดชะงักที่หลีกเลี่ยงไม่ได้ หากเป็นไปได้ ให้พิจารณาส่งอีเมลถึงลูกค้าของคุณเพื่อแจ้งให้ทราบล่วงหน้าเกี่ยวกับการบำรุงรักษาไซต์

นี่เป็นเวลาที่ดีในการตรวจสอบบันทึกของคุณ ค้นหาปัญหาที่อาจเกิดขึ้นกับการเข้าถึงที่อยู่ IP ปัญหาประเภทนี้จะเริ่มล้มเหลวหลังจากการย้ายข้อมูลเสร็จสิ้นและคุณปิดระบบเก่า

  1. โปรดจำไว้ว่าระเบียนทรัพยากร DNS จะถูกแคชไว้ทั่วโลก บันทึกทรัพยากร TTL ให้คำแนะนำเกี่ยวกับระยะเวลา ตัวแก้ไข DNS สามารถใช้การตีความ TTL ของตนเองได้อย่างอิสระ

  2. จดบันทึก TTL ของทรัพยากรที่คุณจะเปลี่ยนแปลง ตอนนี้เปลี่ยน TTL เป็นค่าสั้นเช่น 1 นาที

  3. ก่อนทำการเปลี่ยนแปลงขั้นสุดท้าย ให้รอให้ TTL เก่าหมดอายุเป็นอย่างน้อย

  4. ตั้งค่าบริการและโหลดบาลานเซอร์ของคุณก่อนทำการเปลี่ยนแปลง DNS ตรวจสอบให้แน่ใจว่าบริการทำงานได้อย่างถูกต้องโดยใช้ที่อยู่ IP เท่านั้น หากคุณกำลังเปลี่ยนเส้นทาง IP ไปยังโดเมน หรือ HTTP ไปยัง HTTPS ให้ปิดใช้งานคุณลักษณะเหล่านั้นชั่วคราวและเปิดใช้ในภายหลัง

  5. ใช้ certbot ในโหมดแมนวลและสร้างใบรับรองที่คุณสามารถโหลดลงในโหลดบาลานเซอร์ ซึ่งจะเป็นการลบขั้นตอนของตัวโหลดบาลานเซอร์ที่สร้างใบรับรอง SSL และรอการตรวจสอบ คุณสามารถเปลี่ยนไปใช้ Google Managed SSL ได้ในภายหลัง

  6. กำหนดค่าทั้งส่วนหน้า HTTP และ HTTPS ของ Google Cloud Load Balancer กำหนดค่าใบรับรอง Let's Encrypt SSL ในส่วนหน้า

  7. วางแผนที่จะปล่อยให้ไซต์เก่าทำงานประมาณ 30 วันหลังจากย้ายข้อมูล ฉันมักจะเห็นการเข้าชมเป็นเวลาหลายสัปดาห์ที่ไซต์เก่าหลังจากการย้ายข้อมูล

  8. เลือกเวลาของวันหรือวันในสัปดาห์ที่มีปริมาณการจราจรน้อยที่สุด จากนั้นเปลี่ยนระเบียนทรัพยากร DNS โปรดจำไว้ว่าค่า TTL เก่าควรหมดอายุแล้ว ดังนั้น TTL ใหม่จะถูกใช้สำหรับการแคช

  9. ไม่กี่วันต่อมาเมื่อคุณตรวจสอบแล้วว่าทุกอย่างใช้งานได้ ให้ตั้งค่า TTL เป็นค่าปกติ 604800 ซึ่งเป็นจำนวนวินาทีในหนึ่งสัปดาห์หรือ 86400 (หนึ่งวัน) เปิดใช้งานการเปลี่ยนเส้นทางไซต์อีกครั้ง (IP -> โดเมน, HTTP -> HTTPS) หากใช้

in flag
ขอบคุณจอห์น เพิ่งพบว่าคุณสามารถใช้ certbot กับ CSR ได้ หวังว่าจะได้ผล จากนั้นเปลี่ยนเป็นใบรับรองที่จัดการโดย Google (คุณสามารถกำหนดสองรายการพร้อมกันได้) จะลองดูและยอมรับในภายหลัง
John Hanley avatar
cn flag
@AndréLaszlo - การใช้ CSR จะไม่ช่วยลดเวลาหยุดทำงาน ใบรับรอง SSL ทั้งหมดออกโดย/จาก CSR ที่ลงนามโดยใบรับรองอื่น เว้นแต่คุณจะหมายถึงเวลาในการกรอกรายละเอียด ค่าสำคัญเพียงอย่างเดียวที่ Let's Encrypt ใช้จาก CSR คือชื่อ พารามิเตอร์อื่นๆ ส่วนใหญ่จะถูกละเว้น
Score:1
ธง cn

นอกจากคำแนะนำก่อนหน้านี้ โปรดทราบว่าใบรับรอง SSL ที่จัดการโดย Google ไม่ได้รับการสนับสนุนสำหรับโหลดบาลานเซอร์ HTTP(S) ภายนอกระดับภูมิภาคและโหลดบาลานเซอร์ HTTP(S) ภายใน สำหรับโหลดบาลานเซอร์เหล่านี้ คุณจะต้องใช้ใบรับรอง SSL ที่จัดการด้วยตนเอง ฉันไม่เห็นว่าคุณใช้โหลดบาลานเซอร์ประเภทใด อย่างไรก็ตาม ก่อนที่จะพยายามตั้งค่าการย้ายข้อมูลนี้ คุณจะต้องพิจารณาก่อน ในข้อนี้ด้วย แนะนำ คุณสามารถดูวิธีสร้างและใช้ใบรับรอง SSL ที่จัดการโดย Google และข้อควรพิจารณาเพื่อให้ทำงานได้อย่างถูกต้อง1.

เราขอแนะนำให้คุณตั้งค่ากรอบเวลาการบำรุงรักษาสำหรับการเปลี่ยนแปลงเหล่านี้ เนื่องจากอาจใช้เวลาถึง 30 นาทีก่อนที่ใบรับรองจะพร้อมใช้งานสำหรับ Google Front Ends (GFE) ทั้งหมด

นอกจากนี้ใน ที่นี่ คุณจะเห็นคำแนะนำอย่างเป็นทางการพร้อมขั้นตอนในการเข้าถึงพฤติกรรมนี้

1 https://cloud.google.com/load-balancing/docs/ssl-certificates/google-managed-certs

2 https://cloud.google.com/load-balancing/docs/ssl-certificates/google-managed-certs#migrating-ssl

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา