Google Cloud Load Balancer + Instance Group + Chứng chỉ SSL

Dự án của tôi bao gồm một trang web chính nơi người dùng có thể đăng ký tài khoản. Sau khi đăng ký, mỗi người sẽ nhận được một trang web (tên miền phụ của tên miền của riêng tôi), nơi họ có một cửa hàng thương mại điện tử được quản lý bởi một nền tảng được lưu trữ trên trang web chính của tôi (trang web mà họ đã đăng ký) Như thế này

example1.com -> trang web chính (đăng nhập, đăng ký, v.v.)
example1.com/platform -> nền tảng quản lý
store1.example1.com -> Cửa hàng của người dùng 1
store2.example1.com -> Cửa hàng của người dùng 2

Và về mặt phần cứng hiện tại, thiết lập của tôi là thế này: 1 phiên bản VM trong GCP với apache, một vài thiết lập máy chủ ảo với một số ký tự đại diện có thể ánh xạ miền được yêu cầu tới thư mục thích hợp.
Tôi cũng đã tạo chứng chỉ ký tự đại diện trên miền chính của mình để bảo vệ tất cả các cửa hàng của khách hàng bằng SSL.

Bây giờ, tôi muốn ngăn máy chủ quá tải theo thời gian, vì vậy tôi mặc dù có một bộ cân bằng tải được kết nối với một nhóm máy phiên bản được sao chép từ máy được giải thích ở trên sẽ giải quyết được sự cố của tôi, về lý thuyết thì nó hoạt động nhưng tôi gặp sự cố:

Mỗi người dùng có quyền mua một tên miền của riêng mình và chuyển hướng nó đến ip của tôi (LB hoặc VM) để cửa hàng của họ trông giống như thế này:

store1.com -> Cửa hàng của người dùng 1
store2.com -> Cửa hàng của người dùng 2

Và, nếu muốn, họ có thể "mua" chứng chỉ SSL trên nền tảng của tôi để bảo vệ tên miền của họ. Tôi có thể dễ dàng xử lý việc tạo chứng chỉ SSL một cách nhanh chóng thông qua certbot và letsencrypt của API, nhưng vì máy ảo của tôi sẽ chạy trên một nhóm phiên bản nên mọi tệp chứng chỉ mà tôi lưu trên máy ảo hiện đang hoạt động sẽ không được sao chép sang các máy ảo khác (nếu có ) và thậm chí có thể bị mất khi nhóm cá thể quyết định không cần máy ảo hiện tại nữa. Làm cách nào tôi có thể sắp xếp mọi thứ (LB, nhóm đối tượng, vm và/hoặc apache) để bộ cân bằng tải gửi lưu lượng truy cập đến nhiều vm trong nhóm đối tượng của tôi nhưng chúng có thể "chia sẻ" trong thư mục chứng chỉ hoặc thậm chí toàn bộ đĩa bằng cách nào đó.. ?

Đĩa liên tục BTW trên VM chỉ có thể được gắn vào nhiều VM nếu chúng ở chế độ chỉ đọc (sẽ không hoạt động) và tôi cũng đã thử lưu trữ tệp nhưng nó có giá 200 mỗi tháng và đó chỉ là một chút cho việc này..

Như @JohnHanley đã chỉ ra:

Quản lý chứng chỉ trên thiết lập LB và xóa certbot khỏi Máy chủ web. Sẽ có một số chi phí chung với xác minh tên miền của Google, nhưng nó chắc chắn đáng để thử.

Về cấu hình LB và chứng chỉ:

• bạn không thể thay đổi chứng chỉ đã định cấu hình trên LB
• nhưng bạn có thể thêm chứng chỉ mới (ví dụ:với một tên máy chủ bổ sung) và thêm nó vào LB hiện có, sau đó xóa thiết lập chứng chỉ cũ hơn

Có một số mô-đun Terraform xung quanh có thể hỗ trợ bạn, nhưng tất nhiên điều này cũng sẽ tạo ra một số nỗ lực học tập và quản lý.