睡睡念

這篇文章要完成得部分有

1. 建立LB，連結到GCS
2. 設定cloud Armor白名單
3. Certificate Manager 增加 ssl憑證

正文

建立負載平衡

建立負載平衡 -> HTTP(S) 負載平衡

不能用區域的，因為區域的不支援後端值區

前端設定

這邊建議最好就直接建立一個ip，不要用臨時的。
如果通訊協定要用https，需要設定憑證，所以這邊先選擇http就好

後端設定

建立值區

第一個箭頭，選擇你要建立的值區
第二個箭頭，看要不要建CDN
第三個箭頭，是設定白名單(cloud Armor)用的，這邊先不設定，等等第二部分會說

主機與路徑規則

預設會直接進入bucket，這邊要注意，記得要將bucket 設定為公開。

設定cloud Armor

上一部份有說到設定白名單(cloud Armor)

網路安全性-> Cloud Armor
這邊要增加的設定是 Edge 安全性政策，不是後端安全性政策，
因為只有edge安全性政策支援後端儲存分區
ref. 安全政策的類型。

新增的時候，選擇 Edge安全性政策，如果沒看到這個選項，
你可能已經進到政策裏面的規則了。

建立完成後，可以從目標去新增要新增的對象，或是到負載平衡那邊做修改。

cloud armor 目標新增

選擇『負載平衡器後端值區』，再選擇你的bucket

負載平衡器修改

後端設定 -> 修改

箭頭處選擇剛剛新增的 cloud armor規則

Certificate Manager 新增憑證

ssl憑證，在GCP上面是可以直接幫你管理的。
雖然不支援 Wildcard SSL Certificate

憑證分成自己管理與google代管，
自己管理，時間到就要自己上傳新的憑證。
google管理，不用管，時間到會自己展延，前提是你必須要有該domain。
選擇google代管的憑證，輸入要管理的domain

儲存後，回到畫面應該會看到正在佈建中(PROVISIONING)，
這個需要一點時間，最久可能要到60 分

然後到dns伺服器上面綁定domain跟ip了，
我是使用cloudflare，就不截圖了。

ref. 使用 Google 管理的 SSL 證書

設定好了以後，回到負載平衡的前端設定
第一個箭頭，可以選擇跟上面一樣的ip（但你必須先幫他建立）
第二個箭頭，選擇剛剛新增的ssl憑證，記得一定要新增，
不然我卡了三個多小時還沒部署完。

ref. 部署概覽

綜合設定

假設有一個情境是希望domain後面一定要有files才能看圖的話，
需要用到『進階型主機與路徑規則(第一個箭頭)』
第二個箭頭設定domain
第三個箭頭新增新的路徑規則

路徑前置字串重新編寫，將/files轉成 / 訪問bucket

另外要注意，由於每個規則都有一條預設的條件，
『任何不相符合的項目』，這個可以選擇要不要導轉到其他網站。