PCNE#252(configure-network)
ある SaaS チームは、外部アプリケーション ロードバランサーに対して Google マネージド SSL 証明書を発行しましたが、ステータスが PROVISIONING のままになり HTTPS フロントエンドが正常に動作しません。証明書には api.example.com を指定しています。最も可能性の高い原因はどれですか。
正解:D
正解の根拠
Google マネージド SSL 証明書は、対象ドメインの DNS A/AAAA レコードが対象ロードバランサーの IP を指していることを確認してから発行されます。DNS が未設定または別 IP を指している場合、PROVISIONING のままステータスが進みません。バックエンドの健全性や URL マップは証明書発行プロセスとは独立しています。
プロビジョニングのチェックリスト
- HTTPS 転送ルールに証明書をアタッチする
- 対象ドメインの A/AAAA を LB の IP に向ける
- 最大 60 分待機し ACTIVE になることを確認する
- 必要に応じて `gcloud compute ssl-certificates describe` で domainStatus を確認
gcloud compute ssl-certificates describe api-cert
--global --format="value(managed.domainStatus)"| 選択肢 | 判定 |
|---|---|
| A | 不正解 |
| B | 不正解 |
| C | 不正解 |
| D | 正解 |
不正解の理由
- A: バックエンドヘルスチェックの結果は証明書プロビジョニングと無関係です。
- B: Google マネージド証明書は ACME ではなく内部メカニズムで検証されるため、Cloud Armor の影響は受けません。
- C: 同上、URL マップに ACME 用ルートを明示する必要はありません。
参考: https://cloud.google.com/load-balancing/docs/ssl-certificates/google-managed-certs
コメント