前幾天提到因為要用 certificate manager 的 SDK 自動更新憑證，所以我們改用 certificate map。今天來快速總結一下 certificate manager 跟 certificate map。

Certificate Manager 主要是讓你管理 load balancer 上的 certificate。其他他有兩種 proxy 模式，HTTPS 跟 SSL。看你使用哪一個 loadbalancer。

當你的架構一大，要管理的 Certificate 變多，Certificate Map 就可以節省很多功夫。他就像 SSL/TLS 憑證的路由表，將特定憑證連結到相應的主機名。

正常來說一個 Certificate 會對到一個 domain。而Certificate map entries 是多個 Certificate 對到一個 domain(舉例 an ECDSA and an RSA certificate 對到一樣的 domain)

而 Certificate map 又對應到多個 Certificate map entries。

所以根據以上介紹，他可以做到

1. 分組憑證：將多個憑證組織在一起。

2. 目標部署：可以將憑證映射附加到負載均衡器上。

3. 重用和靈活性：一個憑證映射可以在多個負載均衡器和目標代理之間共享

所以依照這個邏輯搭配官方這張圖。假設今天load balancer 要開始選擇哪個 certificate 進行連線，他會有一個配對邏輯，首先是精准匹配，再來是 wildcard 匹配，最後才是根據 primary 匹配。詳細可以參考這個網站。另外，如果你在 load balancer 上進行 rules 的配置，他也會照這個順序倒流量。

ref: https://medium.com/google-cloud/manage-ssl-certificates-at-scale-using-google-certificate-manager-fcf1858c6b20