GCP ロードバランサーの資産を表示および管理する

GCP 統合コネクタにより、DigiCert® Trust Lifecycle Manager を使用して Google Cloud Platform（GCP）のアプリケーション層およびネットワーク層（プロキシ）のロードバランサーへの証明書展開を管理できます。

Trust Lifecycle Manager で GCP 統合コネクタを追加すると、リンクされた Google Cloud プロジェクト内のサポートされているロードバランサータイプが検出されます。それにより、ロードバランサーの資産が、一元的なInventoryに追加され、監視および管理できるようになります。

Trust Lifecycle Manager のインベントリデータには、証明書と保護されていないエンドポイントが含まれます。これらが検出された場合、Google Cloud プロジェクト、リージョン、ロードバランサー名、転送ルール名が識別されます。

接続が確立されると、Trust Lifecycle Manager を使用して、Trust Lifecycle Manager アカウントで利用可能な任意の CA から証明書を発行し、ライフサイクル管理を自動化し、新しい証明書を GCP ロードバランサーに展開することができます。

サポートされている GCP ロードバランサー

外部（インターネット接続）

GCP ロードバランサータイプ	負荷分散層	プロトコル
Global external Application Load Balancer Regional external Application Load Balancer Global external Classic Application Load Balancer	アプリケーション（レイヤ 7）	HTTPS
Global external Network Load Balancer Global external Classic Network Load Balancer	ネットワーク（レイヤ 4）¹	TCP/SSL/その他
_{1. ネットワーク層負荷分散の場合、Trust Lifecycle Manager では、プロキシロードバランサーでの SSL オフロード（ターミネーション）用の証明書の管理が可能です。}

内部

GCP ロードバランサータイプ	負荷分散層	プロトコル
Regional internal Application Load Balancer	アプリケーション（レイヤ 7）	HTTPS

GCP 組織階層を表示する

組織スコープの GCP 統合コネクタの場合、Trust Lifecycle Manager では、親組織またはフォルダを横断してすべての子プロジェクトが見つかります。Trust Lifecycle Manager で検出された組織階層を表示するには、以下の手順に従います。

［Integrations > Connectors］ページから、GCP 統合コネクタの名前を選択し、対応する詳細ページを表示します。
コネクタ詳細ページの［リンクしたアカウント］セクションに、現在のコネクタ設定が表示されます。［GCP scope］フィールドに［Organization］と表示されるはずです。この横にある［詳細の表示］リンクを選択します。
右側のサイドレールに、検出された GCP 組織の構造が開かれます。フォルダを選択して、関連するプロジェクト名を表示します。
注記
アクティブなロードバランサーが含まれる GCP プロジェクトの場合、ここに表示されるプロジェクト名は、Trust Lifecycle Manager のInventoryビューで関連付けられた証明書のレコードと一致します。

GCP ロードバランサーのインベントリを表示する

GCP 統合コネクタを通して検出された資産には、GCP ロードバランサーと Google Certificate Manager の両方で見つかった証明書が含まれることがあります。GCP 資産をInventoryにロードしてロードバランサーの資産を特定するには、以下の機能を使用します。

コネクタのショートカットリンク

コネクタ詳細ページには、そのコネクタに関連付けられた資産の事前フィルタリング済みインベントリビューをロードするためのショートカットリンクが含まれています。コネクタ詳細ページの［検出された資産］セクションで、以下のショートカットリンクを見つけます。

資産タイプ	説明
管理された証明書	このショートカットリンクは、Trust Lifecycle Manager により GCP ロードバランサー上で見つかった証明書をロードするために使用します。これらの証明書は特定のエンドポイントに関連付けられており、Trust Lifecycle Manager でのライフサイクル自動化の管理対象となるため、「管理されている」と見なされます。このカテゴリには、管理者ウェブ要求機能を使用して Trust Lifecycle Manager で登録され、Google Certificate Manager に配信された証明書も含まれます。
検出された証明書	このショートカットリンクは、Trust Lifecycle Manager により Google Certificate Manager 上で見つかり、Trust Lifecycle Manager から登録/配信されなかった既存の証明書をロードするために使用します。
保護されていない IP/ポート	このショートカットリンクは、Trust Lifecycle Manager により GCP ロードバランサー上で見つかった、現時点で証明書がインストールされていないエンドポイントをロードするために使用します。

GCP 資産用のインベントリフィルタ

Trust Lifecycle Manager の標準のインベントリ機能を使用して、Google Cloud 資産のカスタムビューを作成して保存します。［エンドポイント］インベントリカテゴリでは、GCP ロードバランサー上の証明書を識別するのに以下のフィルタが役立ちます。列が表示されていない場合は、インベントリテーブル設定機能を使用して追加します。

列のヘッダー	フィルタ値
位置	［ホスト名］フィルタを使用して、GCP ロードバランサーの名前を、以下のいずれかの形式で入力します。グローバルロードバランサー: `{project name}/Global/{load balancer name}/{forwarding rule name}` リージョナルロードバランサー: `{project name}/{region}/{load balancer name}/{forwarding rule name}` または、［IP/ポート］フィルタを使用して、ロードバランサーの転送ルール用の入力ポート番号を入力します。
アプリケーション	以下のいずれかの値を選択して、Google Certificate Manager または特定の GCP ロードバランサータイプに関連付けられた資産を表示します。 Google Certificate Manager: `GCP Certificate Manager` Global external Application Load Balancers: `GCP Global Ext App LB` Regional external Application Load Balancers: `GCP Regional Ext App LB` Global external Classic Application Load Balancers: `GCP Global Ext Classic App LB` Global external Network Load Balancers: `GCP Global Ext Net LB` Global external Classic Network Load Balancers: `GCP Global Ext Classic Net LB` Regional internal Application Load Balancers: `GCP Regional Int App LB`
コネクタ	［Integrations > Connectors］ページに示される GCP 統合コネクタの名前全体または一部を入力します。

列のヘッダー

フィルタ値

位置

［ホスト名］フィルタを使用して、GCP ロードバランサーの名前を、以下のいずれかの形式で入力します。

グローバルロードバランサー: {project name}/Global/{load balancer name}/{forwarding rule name}
リージョナルロードバランサー: {project name}/{region}/{load balancer name}/{forwarding rule name}

または、［IP/ポート］フィルタを使用して、ロードバランサーの転送ルール用の入力ポート番号を入力します。

アプリケーション

以下のいずれかの値を選択して、Google Certificate Manager または特定の GCP ロードバランサータイプに関連付けられた資産を表示します。

Google Certificate Manager: GCP Certificate Manager
Global external Application Load Balancers: GCP Global Ext App LB
Regional external Application Load Balancers: GCP Regional Ext App LB
Global external Classic Application Load Balancers: GCP Global Ext Classic App LB
Global external Network Load Balancers: GCP Global Ext Net LB
Global external Classic Network Load Balancers: GCP Global Ext Classic Net LB
Regional internal Application Load Balancers: GCP Regional Int App LB

コネクタ

［Integrations > Connectors］ページに示される GCP 統合コネクタの名前全体または一部を入力します。

GCP ロードバランサーの識別

インベントリテーブルの ［位置］列に、該当する GCP ロードバランサーと、各証明書または保護されていないエンドポイントの転送ルールの名前が、以下のいずれかの形式で示されます。

グローバルロードバランサー: {project name}/Global/{load balancer name}/{forwarding rule name}
リージョナルロードバランサー: {project name}/{region}/{load balancer name}/{forwarding rule name}

例:

グローバルロードバランサー: my-gcp-project-1/Global/global-extrernal-application-loadbancer1/externallb-frontend-iport3
リージョナルロードバランサー: my-gcp-project-2/us-east1/internal-regional-lb/external-regional-lb-forwarding-rule

GCP ロードバランサー上の証明書を管理する

接続された任意の CA から証明書を登録および展開するための自動化機能を使用することで、Trust Lifecycle Manager Web コンソールから直接、GCP ロードバランサーでの証明書展開を管理できます。

最初に、GCP ロードバランサーに展開する証明書の発行 CA とタイプについての証明書自動化プロファイルを作成します。

重要

GCP ロードバランサー上の証明書管理用に作成する証明書プロファイルで、DigiCert sensor 登録方法を選択します。

一方、証明書を Google Certificate Manager に配信するには、証明書プロファイルで Admin web request 登録方法を選択します。管理者ウェブ要求機能を使用して要求を送信します。

HTTP から HTTPS へのリダイレクトを設定する

Trust Lifecycle Manager を使用して、以下の GCP ロードバランサータイプについて、HTTP から HTTPS へのリダイレクトを追加できます。

Regional external Application Load Balancer
Global external Application Load Balancer
Global external Classic Application Load Balancer

HTTP エンドポイントに対する暗号化を有効にするには、Inventory機能を使用して証明書を要求し、対応するトラフィックを HTTPS にリダイレクトします。Trust Lifecycle Manager により、証明書がインストールされて、必要な転送ルールが設定されます。

注記

HTTP から HTTPS へのリダイレクトが GCP ロードバランサーに対してどのように機能するかの詳細については、『Google Cloud の公式ドキュメント』を参照してください。

インベントリで HTTP エンドポイントを表示する

サポートされている上記の GCP ロードバランサータイプのいずれかに接続すると、Trust Lifecycle Manager では、ロードバランサー上の保護されていない HTTP エンドポイントが検索されます。

HTTP エンドポイントを表示するには、インベントリの［エンドポイント］>［未保護］ビューをロードします。上記の「View inventory on GCP load balancers」のセクションに記載されたのと同じフィールドを使用してエンドポイントをフィルタリングします。

［位置］列では、ロードバランサー名と、エンドポイントのポート番号が識別されます。HTTP エンドポイントは通常、ポート番号 80 を使用しますが、他のポート番号に設定することもできます。

重要

Trust Lifecycle Manager から HTTP エンドポイントを管理するには、GCP ロードバランサーに静的 IP アドレスが設定されている必要があります。該当する HTTP エンドポイントは、Trust Lifecycle Manager インベントリの［自動化ステータス］が Configured になります。

HTTP から HTTPS へのリダイレクトを追加する

GCP ロードバランサーの HTTP エンドポイント用の証明書を要求すると、Trust Lifecycle Manager では、対応する HTTPS リダイレクトオプションを設定するよう求められます。

まず、インベントリで HTTP エンドポイントを表示し、［自動化ステータス］列に Configured と表示されていることを確認します。エンドポイントの HTTP から HTTPS へのリダイレクトを以下のように追加します。

HTTP エンドポイントのアクションメニュー（⋮）から、［証明書の要求］を選択します。
通常どおり、［Automation request］ フォームに情報を入力し、新しい証明書を発行するための自動化プロファイルとオプションを選択します。HTTP から HTTPS へのリダイレクトを設定するには、以下に記載されている追加フィールドに値を指定します。
GCP ロードバランサーのすべてのタイプについて、以下のように設定します。
- ［HTPS リダイレクトポート］: 暗号化された接続を終了するために使用されるターゲット HTTPS プロキシのポート番号を入力します。
グローバルなGCP ロードバランサーの場合:
- ［証明書の添付］: 証明書を新規または既存の証明書マップエントリに追加するかどうかについて、いずれかのオプションを選択します。
  - ［既存の証明書マップと証明書マップエントリ］: 証明書を既存の証明書マップ内の既存のエントリに追加します。
  - ［既存の証明書マップと新しい証明書マップエントリ］: 既存の証明書マップ内に証明書用の新しい証明書マップエントリを作成します。
  - ［新しい証明書マップと新しい証明書マップエントリ］: 証明書用の新しい証明書マップと新しい証明書マップエントリの両方を作成します。
- ［証明書マップ名］: 証明書を追加する証明書マップの名前を入力します。
  - 既存の証明書マップへの配信では、入力する名前が既存のマップと完全に一致している必要があります。
  - 新しい証明書マップへの配信では、入力する名前が新しいマップを作成するために使用されます。
- ［証明書マップエントリ名］: 証明書を追加する特定の証明書マップエントリの名前を入力します。
  - 既存の証明書マップへの配信では、入力する名前が既存のエントリと完全に一致している必要があります。
  - 新しい証明書マップへの配信では、入力する名前が新しいエントリを作成するために使用されます。
［送信］を選択し、証明書を発行および展開し、GCP ロードバランサー上の証明書に HTTP から HTTPS へのリダイレクトを設定します。

要求を送信した後、Trust Lifecycle Manager では以下のアクションが実行されます。

Google Cloud の要件に従って、HTTP トラフィックを HTTPS にリダイレクトする URL マップ用に、新しい部分的な GCP ロードバランサーが作成されます。部分的なロードバランサーは、元のロードバランサーと同じ名前の末尾に -partial が付加された名前になります。
暗号化されたトラフィックを終了するように、元のロードバランサーに転送ルールとターゲット HTTPS プロキシが設定されます。
証明書が発行され、元の GCP ロードバランサーのターゲット HTTPS プロキシにインストールされ、必要に応じて証明書マップエントリが作成されます（グローバルロードバランサーの場合のみ）。

このセクションの内容: