Google Cloud Load Balancer + Grup de instanțe + Certificate SSL

Proiectul meu constă într-un site web principal unde utilizatorii își pot înregistra un cont. După înregistrare, fiecare primește un site web (subdomeniul propriului meu domeniu) unde au un magazin de comerț electronic gestionat de o platformă găzduită pe site-ul meu principal (cel cu care s-au înregistrat) Ca aceasta

example1.com -> site-ul web principal (autentificare, înregistrare etc.)
example1.com/platform -> platformă de management
store1.example1.com -> magazinul utilizatorului 1
store2.example1.com -> magazinul utilizatorului 2

Și în ceea ce privește hardware-ul, în acest moment, configurația mea este următoarea: 1 instanță VM în GCP cu apache, câteva setări de gazde virtuale cu unele metacaractere care pot mapa domeniul solicitat în folderul corespunzător.
De asemenea, am generat un certificat wildcard pe domeniul meu principal care protejează toate magazinele clienților mei cu SSL.

Acum, am vrut să prevenim supraîncărcarea serverului în timp, așa că, deși, a avea un echilibrator de încărcare conectat la un grup de instanțe de mașini replicate din cel explicat mai sus ar rezolva problema mea, în teorie funcționează, dar am o problemă:

Fiecare utilizator are puterea de a cumpăra propriul nume de domeniu și de a-l redirecționa către ip-ul meu (LB sau VM), astfel încât magazinul său să arate cam așa:

store1.com -> Magazinul utilizatorului 1
store2.com -> Magazinul utilizatorului 2

Și, dacă doreau, ar putea „cumpăra” un certificat SSL pe platforma mea pentru a-și proteja numele de domeniu. Pot gestiona cu ușurință crearea de certificate SSL din mers prin certbot-ul API și letsencrypt, dar, deoarece vm-urile mele ar rula pe un grup de instanțe, orice fișier de certificat pe care îl salvez pe VM-ul care funcționează în prezent nu va fi replicat celorlalți (dacă există ) și ar putea fi chiar pierdute atunci când grupul de instanțe a decis că nu mai are nevoie de acel VM actual. Cum aș putea aranja totul (LB, grup de instanțe, vm și/sau apache) astfel încât echilibratorul de încărcare să trimită trafic către mai multe VM din grupul meu de instanțe, dar ar putea „parta” într-un fel folderul certificatelor sau chiar întregul disc. ?

Discul persistent pe VM-uri poate fi montat doar pe mai multe VM-uri dacă acestea sunt în modul numai citire (nu va funcționa) și am încercat și depozit de fișiere, dar a costat 200 pe lună și este puțin cam mult doar pentru asta.

După cum a subliniat @JohnHanley:

Gestionați certificatele din LB-setup și eliminați certbot de pe serverul web. Va exista unele cheltuieli generale cu verificarea domeniului Google, dar merită cu siguranță încercat.

În ceea ce privește configurația LB și certificatele:

• nu puteți schimba un certificat configurat pe un LB
• dar puteți adăuga un nou certificat (de ex.cu un nume de gazdă suplimentar) și adăugați-l la un LB existent și apoi eliminați configurarea mai veche a certificatului

Există câteva module Terraform în jur care te-ar putea sprijini, dar desigur că acest lucru ar crea și un efort de învățare și de gestionare.