Как использовать Let's Encrypt с Google HTTPS Load Balancer и управляемыми группами экземпляров?

Я пытаюсь понять, как использовать автоматическое масштабирование с региональным балансировщиком нагрузки HTTPS в Google Cloud. В их документации рекомендуется, чтобы подключение к серверным службам (через прокси) также было HTTPS. Это наводит меня на мысль, что мне нужны:

• Шаблон экземпляра, содержащий сертификат SSL и Nginx, настроенный для приема трафика HTTPS.
• Управляемые группы экземпляров, настроенные для приема трафика от балансировщика нагрузки.
• Балансировщик нагрузки, настроенный с действующим сертификатом SSL, который принимает входящий трафик и перенаправляет его в соответствующую региональную группу экземпляров (а также запускает масштабирование, согласно документации Google

Я не могу осмыслить, как SSL-сертификаты должны работать с этой настройкой, несмотря на чтение документации SSL-сертификатов Google и их различных страниц документации о балансировщиках нагрузки

. Я хотел бы использовать Let's Encrypt и автоматизировать обновление сертификатов SSL каждые 45 дней. Вот мои вопросы:

• Что должен делать шаблон экземпляра, чтобы иметь действующий сертификат? Или я могу использовать самозаверяющие сертификаты на виртуальных машинах? Я' m с помощью Docker в шаблоне экземпляра и изо всех сил пытается создать действительный самозаверяющий сертификат, когда я запускаю экземпляр на эфемерном IP-адресе.
• Требуется ли шаблон экземпляра задание cron и / или использовать certbot для обновления SSL сертификат каждые 45 дней?
• Предоставляет ли Google способ автоматизировать обновление сертификатов SSL, которыми он управляет на балансировщике нагрузки HTTPS?

Наконец:

• Есть ли лучший способ подумать об этой проблеме или более простое решение?