Kebijakan SSL menentukan serangkaian fitur SSL yang digunakan load balancer Google Cloud saat menegosiasikan SSL dengan klien. Dalam dokumen ini, istilah SSL mengacu pada protokol SSL dan TLS.
Kebijakan SSL didukung dengan load balancer berikut:
- Kebijakan SSL global
- Load Balancer Aplikasi eksternal global
- Load Balancer Aplikasi Klasik
- Load Balancer Jaringan proxy eksternal (dengan proxy SSL target)
- Load Balancer Aplikasi internal lintas region _shared/networking/_setting_up_l7_regional_serverless.md
- Kebijakan SSL regional
- Load Balancer Aplikasi eksternal regional
- Load Balancer Aplikasi internal regional
Untuk mengetahui informasi selengkapnya tentang cara kerja kebijakan SSL, baca Ringkasan kebijakan SSL.
Anda dapat membuat dan mengelola kebijakan SSL menggunakan Google Cloud Console atau Google Cloud CLI saat membuat load balancer HTTPS atau SSL, atau kapan saja setelah membuat load balancer.
Untuk mencantumkan, membuat, dan mengelola kebijakan SSL regional, pastikan Anda menjalankan gcloud CLI versi 404 atau yang lebih baru.
Membuat kebijakan SSL
Anda dapat membuat kebijakan SSL dengan profil yang dikelola Google atau dengan profil kustom.
Membuat kebijakan SSL dengan profil yang dikelola Google
Konsol
Kebijakan SSL global
Untuk membuat kebijakan SSL global dengan profil yang dikelola Google, lakukan hal berikut:
Di konsol Google Cloud, buka halaman Kebijakan SSL.
Klik Create policy.
Untuk Global SSL policy, klik tombol Create di sampingnya. Halaman Create policy akan muncul.
Masukkan Nama.
Pilih Versi TLS Minimum.
Untuk Profil, pilih Kompatibel, Modern, atau Dibatasi. Fitur yang diaktifkan dan Fitur yang dinonaktifkan untuk profil ditampilkan di sisi kanan halaman.
Jika ada load balancer tempat Anda ingin melampirkan kebijakan, klik Apply to targets lalu pilih aturan penerusan sebagai target kebijakan SSL. Jika diinginkan, tambahkan lebih banyak target.
Klik Create.
Kebijakan SSL regional
Untuk membuat kebijakan SSL regional dengan profil yang dikelola Google, lakukan hal berikut:
Di konsol Google Cloud, buka halaman Kebijakan SSL.
Klik Create policy.
Untuk Regional SSL policy, klik tombol Create di sampingnya. Halaman Create policy akan muncul.
Masukkan Nama.
Pilih Region.
Pilih Versi TLS Minimum.
Untuk Profil, pilih Kompatibel, Modern, atau Dibatasi. Fitur yang diaktifkan dan Fitur yang dinonaktifkan untuk profil ditampilkan di sisi kanan halaman.
Jika ada load balancer tempat Anda ingin melampirkan kebijakan, klik Apply to targets lalu pilih aturan penerusan sebagai target kebijakan SSL. Jika diinginkan, tambahkan lebih banyak target.
Klik Create.
gcloud
Kebijakan SSL global
Berikut adalah sintaksis umum untuk membuat kebijakan SSL global dengan profil yang dikelola Google:
gcloud compute ssl-policies create SSL_POLICY_NAME \ --profile COMPATIBLE | MODERN | RESTRICTED \ --min-tls-version 1.0 | 1.1 | 1.2
Perintah berikut akan membuat kebijakan SSL global dengan profil MODERN
:
gcloud compute ssl-policies create my-ssl-policy \ --profile MODERN \ --min-tls-version 1.0
Kebijakan SSL regional
Berikut adalah sintaksis umum untuk membuat kebijakan SSL regional dengan profil yang dikelola Google:
gcloud compute ssl-policies create SSL_POLICY_NAME \ --profile COMPATIBLE | MODERN | RESTRICTED \ --min-tls-version 1.0 | 1.1 | 1.2 \ --region REGION
Perintah berikut membuat kebijakan SSL regional dengan profil
COMPATIBLE
:
gcloud compute ssl-policies create my-ssl-policy \ --profile COMPATIBLE \ --min-tls-version 1.1 \ --region us-west1
Membuat kebijakan SSL dengan profil kustom
Konsol
Kebijakan SSL global
Untuk membuat kebijakan SSL global dengan profil kustom, lakukan hal berikut:
Di konsol Google Cloud, buka halaman Kebijakan SSL.
Klik Create policy.
Untuk Global SSL policy, klik tombol Create di sampingnya. Halaman Create policy akan muncul.
Masukkan Nama.
Pilih Versi TLS Minimum.
Untuk Profil, pilih Kustom. Semua fitur ditampilkan sebagai Fitur yang dinonaktifkan di sisi kanan halaman.
Dalam daftar Features, pilih setiap cipher suite yang ingin diaktifkan. Cipher suite yang Anda aktifkan tercantum sebagai Fitur yang diaktifkan.
Jika ada load balancer tempat Anda ingin melampirkan kebijakan, klik Apply to targets lalu pilih aturan penerusan sebagai target kebijakan SSL. Jika diinginkan, tambahkan lebih banyak target.
Klik Create.
Kebijakan SSL regional
Untuk membuat kebijakan SSL regional dengan profil kustom, lakukan hal berikut:
Di konsol Google Cloud, buka halaman Kebijakan SSL.
Klik Create policy.
Untuk Regional SSL policy, klik tombol Create di sampingnya. Halaman Create policy akan muncul.
Masukkan Nama.
Pilih Region.
Pilih Versi TLS Minimum.
Untuk Profil, pilih Kustom. Semua fitur ditampilkan sebagai Fitur yang dinonaktifkan di sisi kanan halaman.
Dalam daftar Features, pilih setiap cipher suite yang ingin diaktifkan. Cipher suite yang Anda aktifkan tercantum sebagai Fitur yang diaktifkan.
Jika ada load balancer tempat Anda ingin melampirkan kebijakan, klik Apply to targets lalu pilih aturan penerusan sebagai target kebijakan SSL. Jika diinginkan, tambahkan lebih banyak target.
Klik Create.
gcloud
Saat Anda membuat kebijakan SSL dengan profil KUSTOM, hanya fitur yang Anda
tentukan dalam perintah create
yang didukung. Fitur lainnya tidak
didukung.
Kebijakan SSL global
Berikut adalah sintaksis umum untuk membuat kebijakan SSL global dengan profil kustom:
gcloud compute ssl-policies create SSL_POLICY_NAME \ --profile CUSTOM \ --min-tls-version 1.0 | 1.1 | 1.2 \ --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3]
Contoh berikut membuat kebijakan SSL global dengan profil KUSTOM
dengan versi TLS minimum 1.2 serta menampilkan
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
dan
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
.
gcloud compute ssl-policies create SSL_POLICY_NAME \ --profile CUSTOM \ --min-tls-version 1.2 \ --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
Kebijakan SSL regional
Berikut adalah sintaksis umum untuk membuat kebijakan SSL regional dengan profil kustom:
gcloud compute ssl-policies create SSL_POLICY_NAME \ --profile CUSTOM \ --min-tls-version 1.0 | 1.1 | 1.2 \ --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \ --region REGION
Contoh berikut membuat kebijakan SSL regional dengan profil KUSTOM
dengan versi TLS minimum 1.2 serta menampilkan
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
dan
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
.
gcloud compute ssl-policies create SSL_POLICY_NAME \ --profile CUSTOM \ --min-tls-version 1.2 \ --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \ --region us-west1
Membuat daftar kebijakan SSL
Konsol
Di konsol Google Cloud, buka halaman Kebijakan SSL.
Anda dapat melihat daftar semua kebijakan SSL yang tersedia. Kolom Scope menunjukkan apakah kebijakan SSL bersifat global atau regional.
gcloud
Untuk menampilkan kebijakan SSL global dan regional, jalankan:
gcloud compute ssl-policies list
Untuk mencantumkan kebijakan SSL global saja, jalankan:
gcloud compute ssl-policies list --global
Untuk mencantumkan hanya kebijakan SSL regional, jalankan:
gcloud compute ssl-policies list --regions REGION
Mencantumkan fitur yang tersedia di kebijakan SSL
Konsol
Di konsol Google Cloud, buka halaman Kebijakan SSL.
Klik nama kebijakan yang fiturnya ingin Anda lihat. Cipher suite yang diaktifkan dan dinonaktifkan tercantum di sisi kanan halaman.
gcloud
Untuk menampilkan daftar fitur yang tersedia dalam kebijakan SSL global:
gcloud compute ssl-policies list-available-features
Untuk mencantumkan fitur yang tersedia dalam kebijakan SSL regional:
gcloud compute ssl-policies list-available-features \ --region REGION
Mengubah kebijakan SSL
Konsol
Untuk mengubah kebijakan SSL global atau regional, lakukan hal berikut:
Di konsol Google Cloud, buka halaman Kebijakan SSL.
Klik nama kebijakan yang ingin Anda ubah.
Klik Edit.
Buat perubahan yang Anda inginkan.
Klik Save.
gcloud
Untuk mengubah kebijakan SSL yang sudah ada, teruskan salah satu atau semua tanda yang sesuai dengan kolom yang ingin diperbarui. Kolom yang tidak ditentukan tidak diperbarui.
Jika Anda mengupdate fitur, fitur yang diaktifkan sebelumnya akan dihapus dan diganti dengan fitur baru yang Anda tentukan.
Kebijakan SSL global
gcloud compute ssl-policies update SSL_POLICY_NAME \ --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \ --min-tls-version 1.0|1.1|1.2 \ --custom-features FEATURES
Kebijakan SSL regional
gcloud compute ssl-policies update SSL_POLICY_NAME \ --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \ --min-tls-version 1.0|1.1|1.2 \ [--custom-features FEATURES \] --region REGION
Membuat proxy target dengan kebijakan SSL
Konsol
Anda dapat membuat proxy target menggunakan Konsol Google Cloud saat membuat atau memperbarui load balancer seperti yang ditunjukkan dalam dokumen berikut:
- Menyiapkan Load Balancer Jaringan proxy eksternal dengan proxy SSL target
- Menyiapkan Load Balancer Aplikasi eksternal global
- Menyiapkan Load Balancer Aplikasi klasik
- Menyiapkan Load Balancer Aplikasi eksternal regional
- Menyiapkan Load Balancer Aplikasi internal regional
- Menyiapkan Load Balancer Aplikasi internal lintas region
gcloud
Untuk membuat proxy SSL target dengan kebijakan SSL global:
gcloud compute target-ssl-proxies create TARGET_SSL_PROXY_NAME \ --backend-service BACKEND_SERVICE_NAME \ --ssl-certificate SSL_CERTIFICATE_NAME \ --ssl-policy SSL_POLICY_NAME
Untuk membuat proxy HTTPS target global dengan kebijakan SSL global:
gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \ --ssl-certificate SSL_CERTIFICATE_NAME \ --url-map URL_MAP_NAME \ --ssl-policy SSL_POLICY_NAME
Untuk membuat proxy HTTPS target regional dengan kebijakan SSL regional:
gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \ --ssl-certificates SSL_CERTIFICATE_NAME \ --url-map URL_MAP_NAME \ --url-map-region REGION \ --ssl-policy SSL_POLICY_NAME \ --region REGION
Memasang kebijakan SSL yang ada ke proxy target yang ada
Konsol
gcloud
Gunakan perintah ini untuk menambahkan kebijakan SSL yang ada ke proxy SSL atau proxy HTTPS.
Untuk melampirkan kebijakan SSL global yang ada ke proxy SSL target:
gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \ --ssl-policy SSL_POLICY_NAME
Untuk memasang kebijakan SSL global yang ada ke proxy HTTPS target global:
gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \ --ssl-policy SSL_POLICY_NAME
Untuk memasang kebijakan SSL regional yang ada ke proxy HTTPS target regional:
gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \ --ssl-policy SSL_POLICY_NAME \ --region REGION
Jika Anda tidak memberikan tanda --ssl-policy
atau tanda --clear-ssl-policy
dalam update proxy target (misalnya, saat memperbarui sertifikat
SSL), kebijakan SSL tidak akan berubah. Flag --clear-ssl-policy
dijelaskan dalam Menghapus kebijakan SSL dari proxy target.
API
Untuk menetapkan kebijakan SSL global untuk proxy target global, gunakan
metode
targetHttpsProxies.patch
.
Untuk menetapkan kebijakan SSL regional untuk proxy target regional, gunakan
metode
regionTargetHttpsProxies.patch
.
Menghapus kebijakan SSL dari proxy target
Konsol
gcloud
Gunakan perintah ini untuk menghapus kebijakan SSL dari proxy SSL atau load balancer
HTTPS. Jika Anda tidak memasang kebijakan SSL lain ke proxy target, load balancer akan menggunakan kebijakan SSL default. Menggunakan tanda --clear-ssl-policy
sama dengan mengganti kebijakan SSL dengan kebijakan SSL default.
Untuk menghapus kebijakan SSL global dari proxy SSL target:
gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \ --clear-ssl-policy
Untuk menghapus kebijakan SSL global dari proxy HTTPS target global:
gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \ --clear-ssl-policy
Untuk menghapus kebijakan SSL regional dari proxy HTTPS target regional:
gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \ --clear-ssl-policy \ --region REGION
Jika Anda menambahkan flag --clear-ssl-policy
dalam perintah update, kebijakan SSL
akan dihapus dari proxy.
Jika Anda tidak memberikan tanda --clear-ssl-policy
atau tanda --ssl-policy
dalam update proxy target (misalnya, saat memperbarui sertifikat
SSL), kebijakan SSL tidak akan berubah. Tanda --ssl-policy
dijelaskan di Melampirkan kebijakan SSL yang ada ke proxy target yang ada.
Batas
- Anda dapat mengonfigurasi maksimum 10 kebijakan SSL per project.
- Anda tidak dapat mengonfigurasi lebih dari satu kebijakan SSL per proxy.
Referensi API
Untuk deskripsi properti dan metode yang tersedia saat menangani kebijakan SSL melalui REST API, lihat artikel berikut:
Produk | Dokumentasi API |
---|---|
|
sslPolicies |
|
regionSslPolicies |
Referensi gcloud CLI
Untuk referensi Google Cloud CLI, lihat referensi berikut:
- kebijakan ssl compute
- Global:
--global
- Regional:
--region=[REGION]
- Global:
Langkah selanjutnya
- Untuk informasi konseptual tentang kebijakan SSL, lihat Kebijakan SSL untuk protokol SSL dan TLS.
- Untuk mengetahui informasi tentang Load Balancer Jaringan proxy eksternal, lihat Ringkasan Load Balancer Jaringan proxy eksternal.
- Untuk mengetahui informasi tentang Load Balancer Aplikasi eksternal, lihat Ringkasan Load Balancer Aplikasi Eksternal.