Configura TLS mutua para un balanceador de cargas externo de aplicaciones global

En esta página, se muestran ejemplos de configuración de TLS mutua (mTLS) para un balanceador de cargas de aplicaciones externo global.

Antes de comenzar

• Lee la descripción general del balanceador de cargas de aplicaciones externo.
• Lee la Descripción general de la TLS mutua.
• Configura TLS mutua con certificados proporcionados por el usuario o TLS mutua con una CA privada.
• Los balanceadores de cargas de aplicaciones externos globales admiten diferentes servicios y buckets de backend. Asegúrate de haber configurado un balanceador de cargas HTTP(S) externo externo global con cualquiera de los siguientes backends compatibles:
  • Backends de grupos de instancias de VM
  • Buckets de Cloud Storage (compatibles solo si hay al menos un servicio de backend conectado al balanceador de cargas, además del bucket de backend)
  • Cloud Run, App Engine o Cloud Functions
  • Conectividad híbrida

Configura la mTLS para el balanceador de cargas

Para que la autenticación de la TLS mutua funcione, después de configurar un balanceador de cargas, debes actualizar el proxy HTTPS de destino mediante el recurso ServerTLSPolicy.

1. Asegúrate de haber creado el recurso ServerTLSPolicy. Para obtener instrucciones, consulta Crea los recursos de seguridad de red.

2. Para obtener una lista de todos los proxies HTTPS de destino en tu proyecto, usa el comando gcloud compute target-https-proxies list:

   gcloud compute target-https-proxies list
   

   Toma nota del nombre del proxy HTTPS de destino para conectar el recurso ServerTLSPolicy. Este nombre se denomina TARGET_HTTPS_PROXY_NAME en los siguientes pasos.

3. Para exportar la configuración de un proxy HTTPS de destino a un archivo, usa el comando gcloud beta compute target-https-proxies export.

   global

     gcloud beta compute target-https-proxies export TARGET_HTTPS_PROXY_NAME \
         --destination=TARGET_PROXY_FILENAME \
         --global
     

   Reemplaza lo siguiente:

   • TARGET_HTTPS_PROXY_NAME: el nombre del proxy de destino.
   • TARGET_PROXY_FILENAME: el nombre de un archivo yaml. Por ejemplo, mtls_target_proxy.yaml

4. Enumera todos los recursos ServerTlsPolicies en la ubicación especificada del proyecto actual.

   Consola

   1. En la consola de Google Cloud, ve a la página Autenticación de clientes.

      Ir a Autenticación de clientes

   2. Se muestran todos los recursos ServerTlsPolicies.

   gcloud

   Para enumerar todos los recursos de autenticación de clientes (ServerTlsPolicies), usa el comando gcloud network-security server-tls-policies list:

   gcloud network-security server-tls-policies list \
     --location=REGION
   

   Reemplaza lo siguiente:

   REGION usar global

   Ten en cuenta el nombre del recurso ServerTlsPolicies para configurar mTLS. Este nombre se denomina SERVER_TLS_POLICY_NAME en el paso siguiente.

5. Para agregar el archivo de recursos TARGET_PROXY_FILENAME de ServerTlsPolicy, usa el siguiente comando. Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud.

   echo "serverTlsPolicy: //networksecurity.googleapis.com/projects/PROJECT_ID/locations/REGION/serverTlsPolicies/SERVER_TLS_POLICY_NAME" >> TARGET_PROXY_FILENAME
   

6. Para importar la configuración de un proxy HTTPS de destino desde un archivo, usa el comando gcloud beta compute target-https-proxies import.

   global

      gcloud beta compute target-https-proxies import TARGET_HTTPS_PROXY_NAME \
          --source=TARGET_PROXY_FILENAME \
          --global
      

   Reemplaza lo siguiente:

   • TARGET_HTTPS_PROXY_NAME: el nombre del proxy de destino.
   • TARGET_PROXY_FILENAME: el nombre de un archivo yaml. Por ejemplo, mtls_target_proxy.yaml

Agrega encabezados personalizados mTLS

Con mTLS habilitado, puedes usar encabezados personalizados para pasar información sobre la conexión mTLS a los servicios de backend. También puedes habilitar el registro para que se capturen los errores de conexión mTLS en los registros.

1. Para enumerar todos los servicios de backend del proyecto, usa el comando gcloud compute backend-services list:

   gcloud compute backend-services list
   

   Toma nota del nombre del servicio de backend para habilitar los registros y los encabezados personalizados. Este nombre se denomina BACKEND_SERVICE en el siguiente paso.

2. Para actualizar el servicio de backend, usa el comando gcloud compute backend-services update:

   gcloud compute backend-services update BACKEND_SERVICE \
     --global \
     --enable-logging \
     --logging-sample-rate=1 \
     --custom-request-header='X-Client-Cert-Present:{client_cert_present}' \
     --custom-request-header='X-Client-Cert-Chain-Verified:{client_cert_chain_verified}' \
     --custom-request-header='X-Client-Cert-Error:{client_cert_error}' \
     --custom-request-header='X-Client-Cert-Hash:{client_cert_sha256_fingerprint}' \
     --custom-request-header='X-Client-Cert-Serial-Number:{client_cert_serial_number}' \
     --custom-request-header='X-Client-Cert-SPIFFE:{client_cert_spiffe_id}' \
     --custom-request-header='X-Client-Cert-URI-SANs:{client_cert_uri_sans}' \
     --custom-request-header='X-Client-Cert-DNSName-SANs:{client_cert_dnsname_sans}' \
     --custom-request-header='X-Client-Cert-Valid-Not-Before:{client_cert_valid_not_before}' \
     --custom-request-header='X-Client-Cert-Valid-Not-After:{client_cert_valid_not_after}'
   

¿Qué sigue?

• Configura TLS mutua para un balanceador de cargas clásico de aplicaciones
• Configura la TLS mutua con una CA privada
• Configurar una TLS mutua con certificados proporcionados por el usuario
• Visualiza los registros para la validación del certificado de cliente de mTLS
• Limpia una configuración de balanceo de cargas