SSL 정책 사용

SSL 정책을 사용하면 SSL 프록시 또는 HTTPS 부하 분산기에서 협상하는 SSL 기능을 제어할 수 있습니다. 이 문서에서 'SSL'은 SSL 및 TLS 프로토콜 모두를 의미합니다.

SSL 정책 작동 방식에 대한 자세한 내용은 SSL 정책 개념을 참조하세요.

SSL 정책 사용

HTTPS 또는 SSL 부하 분산기를 만들 때 또는 부하 분산기를 만든 후 언제든지 gcloud 명령줄 도구를 사용하여 SSL 정책을 사용 설정할 수 있습니다.

gcloud compute ssl-policies create NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --global \
    [--min-tls-version 1.0|1.1|1.2] \
    [--custom-features FEATURES]

SSL 정책 만들기

HTTPS 또는 SSL 부하 분산기를 만들 때 도는 부하 분산기를 만든 후 언제든지 Console 또는 gcloud 명령줄 도구를 사용하여 SSL 정책을 만들 수 있습니다.

SSL 정책은 Google 관리형 프로필 또는 커스텀 프로필을 사용해 만들 수 있습니다.

gcloud 명령줄 도구를 이용한 구문

gcloud 명령줄 도구는 다음 구문을 사용하여 SSL 정책을 만듭니다.

gcloud compute ssl-policies create NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --global \
    [--min-tls-version 1.0|1.1|1.2] \
    [--custom-features FEATURES]

Google 관리형 프로필을 사용한 SSL 정책 만들기

콘솔

Google 관리형 프로필을 사용해 SSL 정책을 만들려면 다음 안내를 따르세요.

  1. Google Cloud Console에서 SSL 정책 페이지로 이동합니다.
    SSL 정책 페이지로 이동
  2. 정책 만들기를 클릭합니다. 정책 만들기 페이지가 표시됩니다.
  3. 이름을 입력합니다.
  4. 최소 TLS 버전을 선택합니다.
  5. 프로필에서 호환 가능, 최신 또는 제한됨을 선택합니다. 프로필의 사용 설정된 기능사용 중지된 기능이 페이지 오른쪽에 표시됩니다.
  6. 정책을 연결할 부하 분산기가 있으면 대상 추가를 클릭하고 SSL 정책 대상으로 전달 규칙을 선택합니다. 원하는 경우 대상을 추가합니다.
  7. 만들기를 클릭합니다.

gcloud

일반적으로 사용되는 구문은 다음과 같습니다.

gcloud compute ssl-policies create [SSL_POLICY] \
    --global \
    --profile [COMPATIBLE|MODERN|RESTRICTED]   \
    --min-tls-version 1.0|1.1|1.2

다음은 최신 프로필을 사용해 SSL 정책을 만듭니다.

gcloud compute ssl-policies create my_ssl_policy \
    --global \
    --profile MODERN    \
    --min-tls-version 1.0

다음과 같이 표시됩니다.

Created                             [https://www.googleapis.com/compute/v1/projects/project/global/sslpolicies/policy_name].
PROFILE       MIN_TLS_VERSION
MODERN        TLS_1_0

ENABLED FEATURES:
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

커스텀 프로필을 사용한 SSL 정책 만들기

Console

커스텀 프로필을 사용해 SSL 정책을 만들려면 다음 안내를 따르세요.

  1. Google Cloud Console에서 SSL 정책 페이지로 이동합니다.
    SSL 정책 페이지로 이동
  2. 정책 만들기를 클릭합니다. 정책 만들기 페이지가 표시됩니다.
  3. 이름을 입력합니다.
  4. 최소 TLS 버전을 선택합니다.
  5. 프로필에서 커스텀을 선택합니다. 모든 기능이 페이지 오른쪽에 사용 중지된 기능으로 표시됩니다.
  6. 기능 목록에서 사용 설정할 암호화 모음을 각각 선택합니다. 사용 설정한 암호화 모음이 사용 설정된 기능으로 나열됩니다.
  7. 정책을 연결할 부하 분산기가 있으면 대상 추가를 클릭하고 SSL 정책 대상으로 전달 규칙을 선택합니다. 원하는 경우 대상을 추가합니다.
  8. 만들기를 클릭합니다.

gcloud

다음에서는 최소 TLS 버전 1.2와 기능 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256을 사용하여 커스텀 프로필로 SSL 정책을 만듭니다.

CUSTOM 프로필을 사용하여 SSL 정책을 만들면 create 명령어에서 지정한 기능만 지원됩니다. 다른 기능은 지원되지 않습니다.

gcloud compute ssl-policies create NAME \
    --global \
    --profile CUSTOM --min-tls-version 1.2 \
    --custom-features "TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,"\
    "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256"

SSL 정책 기능 나열

Console 또는 gcloud 명령줄 도구를 사용하여 모든 SSL 정책 기능을 나열할 수 있습니다.

Console

  1. Google Cloud Console에서 SSL 정책 페이지로 이동합니다.
    SSL 정책 페이지로 이동
  2. 기능을 조회할 정책의 이름을 클릭합니다. 사용 설정된 암호화 모음과 중지된 암호화 모음이 페이지 오른쪽에 나열됩니다.

gcloud

SSL 정책에서 사용 가능한 기능을 나열하는 방법은 다음과 같습니다.

gcloud compute ssl-policies list-available-features

SSL 정책 수정

Console 또는 gcloud 명령줄 도구를 사용하여 SSL 정책을 수정할 수 있습니다.

Console

  1. Google Cloud Console에서 SSL 정책 페이지로 이동합니다.
    SSL 정책 페이지로 이동
  2. 수정할 정책의 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 원하는 대로 변경합니다.
  5. 저장을 클릭합니다.

gcloud

기존 SSL 정책을 수정하려면 업데이트할 필드에 해당하는 플래그 전부 또는 일부를 전달합니다. 지정되지 않은 필드는 업데이트되지 않습니다.

기능을 업데이트하면 이전에 사용 설정한 기능이 삭제되고 개발자가 지정한 새 기능으로 대체됩니다.

gcloud compute ssl-policies update NAME \
    [--profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM] \
    [--min-tls-version 1.0|1.1|1.2] \
    [--custom-features FEATURES]

SSL 정책을 사용하여 대상 SSL 프록시 또는 HTTPS 프록시 만들기

SSL 정책을 사용해 대상 SSL 프록시를 만들 수 있습니다.

gcloud compute target-ssl-proxies create NAME \
    --backend-service BACKEND_SERVICE_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    [--ssl-policy SSL_POLICY_NAME]

SSL 정책을 사용하여 외부 HTTP(S) 부하 분산기의 대상 HTTPS 프록시를 만들 수 있습니다.

gcloud compute target-https-proxies create NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    [--ssl-policy SSL_POLICY_NAME]

기존 SSL 정책을 기존 대상 SSL 프록시 또는 HTTPS 프록시에 연결하기

Console 또는 gcloud 명령줄 도구를 사용하여 기존 SSL 정책을 기존 대상 SSL 프록시 또는 HTTPS 프록시에 연결할 수 있습니다.

Console

  1. Google Cloud Console에서 부하 분산 페이지로 이동합니다.
    부하 분산 페이지로 이동
  2. 수정할 HTTPS 또는 SSL 부하 분산기의 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 프런트엔드 구성을 클릭합니다.
  5. SSL 정책을 새로 또는 다르게 할당할 프런트엔드를 클릭합니다.
  6. SSL 정책에서 업데이트할 SSL 정책을 선택합니다.
  7. 다른 SSL 정책을 선택합니다.
  8. 완료를 클릭합니다.
  9. 업데이트를 클릭합니다. 부하 분산기 세부정보 페이지가 표시됩니다.

gcloud

이 명령어를 사용해 기존 SSL 정책을 SSL 프록시 또는 HTTPS 부하 분산기에 연결합니다.

gcloud compute target-ssl-proxies update NAME \
    --ssl-policy SSL_POLICY_NAME
gcloud compute target-https-proxies update NAME \
    --ssl-policy SSL_POLICY_NAME

대상 프록시 업데이트에 --ssl-policy 플래그 또는 --clear-ssl-policy 플래그를 제공하지 않으면(예: SSL 인증서를 업데이트할 때) SSL 정책이 변경되지 않습니다. --clear-ssl-policy 플래그 설명은 기존 대상 SSL 프록시 또는 HTTPS 프록시에서 SSL 정책 삭제를 참조하세요.

기존 대상 SSL 프록시 또는 HTTPS 프록시에서 SSL 정책 삭제

Console 또는 gcloud 명령줄 도구를 사용하여 기존 대상 SSL 프록시 또는 대상 HTTPS 프록시에서 SSL 정책을 삭제할 수 있습니다.

Console

  1. Google Cloud Console에서 부하 분산 페이지로 이동합니다.
    부하 분산 페이지로 이동
  2. 수정할 HTTPS 또는 SSL 부하 분산기의 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 프런트엔드 구성을 클릭합니다.
  5. SSL 정책을 삭제할 프런트엔드를 클릭합니다.
  6. SSL 정책에서 업데이트할 SSL 정책을 선택합니다.
  7. 다른 SSL 정책을 선택합니다.
  8. 완료를 클릭합니다.
  9. 업데이트를 클릭합니다. 부하 분산기 세부정보 페이지가 표시됩니다.

gcloud

이 명령어를 사용해 SSL 프록시 또는 HTTPS 부하 분산기에서 SSL 정책을 삭제합니다. 여기서 NAME은 대상 SSL 또는 HTTPS 프록시의 이름입니다. 다른 SSL 정책을 대상 프록시에 연결하지 않으면 부하 분산기에서 기본 SSL 정책을 사용합니다. --clear-ssl-policy 플래그를 사용하면 SSL 정책을 기본 SSL 정책으로 대체한다는 의미입니다.

gcloud compute target-ssl-proxies update NAME \
    --clear-ssl-policy
gcloud compute target-https-proxies update NAME \
    --clear-ssl-policy

업데이트 명령어에 --clear-ssl-policy 플래그를 제공하면 SSL 정책이 프록시에서 삭제됩니다.

대상 프록시 업데이트에 --clear-ssl-policy 플래그 또는 --ssl-policy 플래그를 제공하지 않으면(예: SSL 인증서를 업데이트할 때) SSL 정책이 변경되지 않습니다. --ssl-policy 플래그에 대한 설명은 기존 대상 SSL 프록시 또는 HTTP 프록시에 기존 SSL 정책 연결을 참조하세요.

한도

  • 프로젝트당 최대 10개의 SSL 정책을 구성할 수 있습니다.
  • 한 프록시에 여러 SSL 정책을 구성할 수는 없습니다.

다음 단계