Gegenseitiges TLS für einen klassischen Anwendungs-Load-Balancer einrichten

Auf dieser Seite finden Sie Beispiele für die Konfiguration von gegenseitigem TLS (mTLS) für einen klassischen Anwendungs-Load-Balancer.

Hinweise

• Lesen Sie die Übersicht über externen Application Load Balancer.
• Übersicht über gegenseitiges TLS
• Richten Sie gegenseitiges TLS mit von Nutzern bereitgestellten Zertifikaten oder gegenseitiges TLS mit einer privaten CA ein.
• Ein klassischer Anwendungs-Load-Balancer unterstützt verschiedene Backend-Dienste und -Buckets. Achten Sie darauf, dass Sie einen klassischen Anwendungs-Load-Balancer mit einem der folgenden unterstützten Back-Ends eingerichtet haben:
  • Back-Ends von VM-Instanzgruppen
  • Cloud Storage-Buckets (nur unterstützt, wenn neben dem Back-End-Bucket auch mindestens ein Back-End-Dienst an den Load-Balancer angehängt ist)
  • Cloud Run, App Engine oder Cloud Functions
  • Hybridkonnektivität
  • Ein externes Backend

mTLS für den Load Balancer einrichten

Damit die gegenseitige TLS-Authentifizierung funktioniert, müssen Sie nach dem Einrichten eines Load-Balancers den Ziel-HTTPS-Proxy mithilfe der Ressource ServerTLSPolicy aktualisieren.

1. Prüfen Sie, ob Sie die Ressource ServerTLSPolicy bereits erstellt haben. Eine Anleitung finden Sie unter Netzwerksicherheitsressourcen erstellen.

2. Verwenden Sie den Befehl gcloud compute target-https-proxies list, um alle Ziel-HTTPS-Proxys in Ihrem Projekt aufzulisten:

   gcloud compute target-https-proxies list
   

   Notieren Sie sich den Namen des HTTPS-Ziel-Proxys, um die ServerTLSPolicy-Ressource anzuhängen. Dieser Name wird in den folgenden Schritten als TARGET_HTTPS_PROXY_NAME bezeichnet.

3. Verwenden Sie den Befehl gcloud beta compute target-https-proxies export, um die Konfiguration eines Ziel-HTTPS-Proxys in eine Datei zu exportieren:

   global

     gcloud beta compute target-https-proxies export TARGET_HTTPS_PROXY_NAME \
         --destination=TARGET_PROXY_FILENAME \
         --global
     

   Ersetzen Sie Folgendes:

   • TARGET_HTTPS_PROXY_NAME: der Name des Zielproxys.
   • TARGET_PROXY_FILENAME: der Name einer YAML-Datei. Beispiel: mtls_target_proxy.yaml.

4. Listet alle ServerTlsPolicies-Ressourcen am angegebenen Speicherort des aktuellen Projekts auf.

   Console

   1. Rufen Sie in der Google Cloud Console die Seite Clientauthentifizierung auf.

      Zu „Clientauthentifizierung“

   2. Es werden alle ServerTlsPolicies-Ressourcen angezeigt.

   gcloud

   Verwenden Sie den Befehl gcloud network-security server-tls-policies list, um alle Ressourcen der Clientauthentifizierung (ServerTlsPolicies) aufzulisten:

   gcloud network-security server-tls-policies list \
     --location=REGION
   

   Ersetzen Sie Folgendes:

   REGION: Nutzen Sie global.

   Notieren Sie sich den Namen der ServerTlsPolicies-Ressource, um mTLS zu konfigurieren. Dieser Name wird im nächsten Schritt als SERVER_TLS_POLICY_NAME bezeichnet.

5. Um die ServerTlsPolicy-Ressourcendatei TARGET_PROXY_FILENAME anzuhängen, verwenden Sie den folgenden Befehl. Ersetzen Sie PROJECT_ID durch die ID Ihres Google Cloud-Projekts.

   echo "serverTlsPolicy: //networksecurity.googleapis.com/projects/PROJECT_ID/locations/REGION/serverTlsPolicies/SERVER_TLS_POLICY_NAME" >> TARGET_PROXY_FILENAME
   

6. Verwenden Sie den Befehl gcloud beta compute target-https-proxies import, um die Konfiguration eines Ziel-HTTPS-Proxys aus einer Datei zu importieren.

   global

      gcloud beta compute target-https-proxies import TARGET_HTTPS_PROXY_NAME \
          --source=TARGET_PROXY_FILENAME \
          --global
      

   Ersetzen Sie Folgendes:

   • TARGET_HTTPS_PROXY_NAME: der Name des Zielproxys.
   • TARGET_PROXY_FILENAME: der Name einer YAML-Datei. Beispiel: mtls_target_proxy.yaml.

Benutzerdefinierte mTLS-Header hinzufügen

Wenn mTLS aktiviert ist, können Sie benutzerdefinierte Header verwenden, um Informationen über die mTLS-Verbindung an Backend-Dienste zu übergeben. Sie können auch das Logging aktivieren, damit mTLS-Verbindungsfehler in den Logs erfasst werden.

1. Verwenden Sie den Befehl gcloud compute backend-services list, um alle Backend-Dienste im Projekt aufzulisten:

   gcloud compute backend-services list
   

   Notieren Sie sich den Namen des Backend-Dienstes, um benutzerdefinierte Header und Logging zu aktivieren. Dieser Name wird im folgenden Schritt als BACKEND_SERVICE bezeichnet.

2. Verwenden Sie den Befehl gcloud compute backend-services update, um den Backend-Dienst zu aktualisieren:

   gcloud compute backend-services update BACKEND_SERVICE \
     --global \
     --enable-logging \
     --logging-sample-rate=1 \
     --custom-request-header='X-Client-Cert-Present:{client_cert_present}' \
     --custom-request-header='X-Client-Cert-Chain-Verified:{client_cert_chain_verified}' \
     --custom-request-header='X-Client-Cert-Error:{client_cert_error}' \
     --custom-request-header='X-Client-Cert-Hash:{client_cert_sha256_fingerprint}' \
     --custom-request-header='X-Client-Cert-Serial-Number:{client_cert_serial_number}' \
     --custom-request-header='X-Client-Cert-SPIFFE:{client_cert_spiffe_id}' \
     --custom-request-header='X-Client-Cert-URI-SANs:{client_cert_uri_sans}' \
     --custom-request-header='X-Client-Cert-DNSName-SANs:{client_cert_dnsname_sans}' \
     --custom-request-header='X-Client-Cert-Valid-Not-Before:{client_cert_valid_not_before}' \
     --custom-request-header='X-Client-Cert-Valid-Not-After:{client_cert_valid_not_after}'
   

Nächste Schritte

• Gegenseitiges TLS für einen globalen externen Anwendungs-Load-Balancer einrichten
• Gegenseitiges TLS mit privater CA einrichten
• Gegenseitiges TLS mit vom Nutzer bereitgestellten Zertifikaten einrichten
• Logs für die Validierung des mTLS-Clientzertifikats ansehen
• Load-Balancing-Einrichtung bereinigen