Cum să migrați la certificatele gestionate de Google fără timp de nefuncționare?

Mut example.com de la un furnizor de găzduire extern (non-Google) în GCP.

Când am configurat echilibrul de încărcare, am observat că trebuie să direcționez example.com către echilibrul de încărcare pentru ca certificatul gestionat de Google să se valideze.

Ar trebui să schimb doar înregistrarea A a example.com la IP-ul (static) al noului echilibrator de încărcare - apoi se va valida.

Problema este că am deja mult trafic către example.com, solicitările care au loc după ce example.com începe să trimită către load balancer, dar înainte ca certificatul să fie validat vor genera erori SSL și utilizatori foarte nemulțumiți.

A rezolvat cineva asta? Știu că există modalități evita timpul de nefuncţionare când rotind certificate, dar trebuie să existe o modalitate de a migra site-uri mari fără timp de nefuncționare?

Veți avea timp de nefuncționare.

Puteți urma aceste sfaturi pentru a minimiza timpul de nefuncționare. Cu o planificare adecvată, timpul de nefuncționare va fi foarte scurt și, în unele cazuri, reîncercările automate vor face acest lucru invizibil pentru clienți.

Cu toate acestea, nu cunosc designul site-ului dvs., utilizarea cookie-urilor, autentificarea, gestionarea sesiunilor etc. Pot exista întreruperi care sunt inevitabile. Dacă este posibil, luați în considerare trimiterea unui e-mail clienților dvs. informându-i înainte de întreținerea site-ului.

Acesta este un moment bun pentru a vă revizui jurnalele. Căutați probleme potențiale cu accesul la adresele IP. Aceste tipuri de probleme vor începe să eșueze după ce migrarea este finalizată și veți închide vechiul sistem.

1. Rețineți că înregistrările de resurse DNS sunt stocate în cache la nivel global. Înregistrarea resursei TTL oferă un indiciu despre cât timp. Rezolvatorii DNS sunt liberi să folosească propria interpretare a TTL-ului dumneavoastră.

2. Notați TTL-ul înregistrărilor de resurse pe care le veți modifica. Acum schimbați TTL la o valoare scurtă, cum ar fi 1 minut.

3. Înainte de a face modificările finale, așteptați ca cel puțin vechiul TTL să expire.

4. Configurați-vă serviciile și echilibrul de încărcare înainte de a face orice modificări DNS. Asigurați-vă că serviciile funcționează corect folosind doar adresa IP. Dacă redirecționați IP către domeniu sau HTTP către HTTPS, dezactivați temporar acele funcții și activați-le mai târziu.

5. Utilizați certbot în modul manual și creați un certificat pe care îl puteți încărca în echilibrul de încărcare. Aceasta elimină pasul de echilibrare a încărcăturii care creează certificatul SSL și așteaptă verificarea. Puteți trece ulterior la SSL gestionat de Google.

6. Configurați ambele front-end HTTP și HTTPS pentru Google Cloud Load Balancer. Configurați certificatul SSL Let's Encrypt în frontend.

7. Planificați să lăsați vechiul site în funcțiune timp de aproximativ 30 de zile după migrare. De obicei, văd trafic timp de câteva săptămâni pe vechiul site după migrare.

8. Selectați ora din zi sau ziua săptămânii cu cel mai puțin trafic. Apoi schimbați înregistrările de resurse DNS. Amintiți-vă că vechea valoare TTL ar fi trebuit să expire, astfel încât noul TTL să fie utilizat pentru stocarea în cache.

9. Câteva zile mai târziu, după ce ați verificat că totul funcționează, setați valorile TTL la ceva normal, cum ar fi 604800 care este numărul de secunde dintr-o săptămână sau 86400 (o zi). Reactivați redirecționarea site-ului (IP -> domeniu, HTTP -> HTTPS), dacă este utilizat.

Pe lângă sugestiile anterioare, rețineți că certificatele SSL gestionate de Google nu sunt acceptate pentru echilibratorii de încărcare HTTP(S) externi regionali și pentru echilibratorii de încărcare HTTP(S) interni. Pentru aceste instrumente de echilibrare a încărcăturii, va trebui să utilizați certificate SSL autogestionate. Nu am văzut ce tip de echilibrator de încărcare utilizați, totuși, înainte de a încerca să setați această migrare, va trebui să o luați în considerare. De asemenea, în acest același ghid ați putea vedea cum să creați și să utilizați certificate SSL gestionate de Google și care sunt considerațiile pentru ca acesta să funcționeze corect1.

Vă sugerez să setați o fereastră de întreținere pentru aceste modificări, deoarece poate dura până la 30 de minute până când certificatul este disponibil pentru toate dispozitivele Google Front End (GFE).

În plus, în Aici vei vedea ghidul oficial cu pas cu pas pentru a ajunge la acest comportament.

1 https://cloud.google.com/load-balancing/docs/ssl-certificates/google-managed-certs

2 https://cloud.google.com/load-balancing/docs/ssl-certificates/google-managed-certs#migrating-ssl