As políticas de SSL especificam o conjunto de recursos de SSL que os balanceadores de carga do Google Cloud usam ao negociar SSL com clientes. Neste documento, o termo SSL refere-se aos protocolos SSL e TLS.
As políticas de SSL são compatíveis com os seguintes balanceadores de carga:
- Políticas globais de SSL
- Balanceador de carga de aplicativo externo global
- Balanceador de carga de aplicativo clássico
- Balanceador de carga de rede de proxy externo (com um proxy SSL de destino)
- Balanceador de carga de aplicativo interno entre regiões _shared/networking/_setting_up_l7_regional_serverless.md
- Políticas de SSL regional
- Balanceador de carga de aplicativo externo regional
- Balanceador de carga de aplicativo interno regional
Para mais informações sobre como as políticas de SSL funcionam, consulte Visão geral das políticas de SSL.
Crie e gerencie políticas de SSL usando o console do Google Cloud ou a Google Cloud CLI ao criar um balanceador de carga HTTPS ou SSL ou a qualquer momento depois de criar o balanceador de carga.
Para listar, criar e gerenciar políticas de SSL regionais, verifique se você está executando a CLI gcloud versão 404 ou posterior.
Criar políticas de SSL
Você pode criar políticas de SSL com perfis gerenciados pelo Google ou com um perfil personalizado.
Criar uma política de SSL com um perfil gerenciado pelo Google
Console
Política de SSL global
Para criar uma política de SSL global com um perfil gerenciado pelo Google, siga estas etapas:
No console do Google Cloud, acesse a página Políticas de SSL.
Clique em Criar política.
Em Política de SSL global, clique no botão Criar ao seu lado. A página Criar política é exibida.
Digite um Nome.
Selecione uma Versão mínima do TLS.
Em Perfil, selecione Compatível, Moderno ou Restrito. Os Recursos ativados e Recursos desativados do perfil são exibidos no lado direito da página.
Se houver um balanceador de carga ao qual você quer anexar a política, clique em Aplicar aos destinos e selecione uma regra de encaminhamento como destino da política de SSL. Se quiser, adicione mais destinos.
Clique em Criar.
Política de SSL regional
Para criar uma política de SSL regional com um perfil gerenciado pelo Google, siga estas etapas:
No console do Google Cloud, acesse a página Políticas de SSL.
Clique em Criar política.
Em Política de SSL regional, clique no botão Criar ao seu lado. A página Criar política é exibida.
Digite um Nome.
Selecione uma Região.
Selecione uma Versão mínima do TLS.
Em Perfil, selecione Compatível, Moderno ou Restrito. Os Recursos ativados e Recursos desativados do perfil são exibidos no lado direito da página.
Se houver um balanceador de carga ao qual você quer anexar a política, clique em Aplicar aos destinos e selecione uma regra de encaminhamento como destino da política de SSL. Se quiser, adicione mais destinos.
Clique em Criar.
gcloud
Política de SSL global
Veja a seguir a sintaxe geral para criar uma política de SSL global com um perfil gerenciado pelo Google:
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile COMPATIBLE | MODERN | RESTRICTED \
--min-tls-version 1.0 | 1.1 | 1.2
O comando a seguir cria uma política de SSL global com o perfil MODERN:
gcloud compute ssl-policies create my-ssl-policy \
--profile MODERN \
--min-tls-version 1.0
Política de SSL regional
Veja a seguir a sintaxe geral para criar uma política de SSL regional com um perfil gerenciado pelo Google:
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile COMPATIBLE | MODERN | RESTRICTED \
--min-tls-version 1.0 | 1.1 | 1.2 \
--region REGION
O comando a seguir cria uma política de SSL regional com o perfil
COMPATIBLE:
gcloud compute ssl-policies create my-ssl-policy \
--profile COMPATIBLE \
--min-tls-version 1.1 \
--region us-west1
Criar uma política de SSL com um perfil personalizado
Console
Política de SSL global
Para criar uma política de SSL global com um perfil personalizado, siga estas etapas:
No console do Google Cloud, acesse a página Políticas de SSL.
Clique em Criar política.
Em Política de SSL global, clique no botão Criar ao seu lado. A página Criar política é exibida.
Digite um Nome.
Selecione uma Versão mínima do TLS.
Em Perfil, selecione Personalizado. Todos os recursos são mostrados como Recursos desativados no lado direito da página.
Na lista de Recursos, selecione cada pacote de criptografia que você quer ativar. Os conjuntos de criptografia ativados são mostrados como Recursos ativados.
Se houver um balanceador de carga ao qual você quer anexar a política, clique em Aplicar aos destinos e selecione uma regra de encaminhamento como destino da política de SSL. Se quiser, adicione mais destinos.
Clique em Criar.
Política de SSL regional
Para criar uma política de SSL regional com um perfil personalizado, siga estas etapas:
No console do Google Cloud, acesse a página Políticas de SSL.
Clique em Criar política.
Em Política de SSL regional, clique no botão Criar ao seu lado. A página Criar política é exibida.
Digite um Nome.
Selecione uma Região.
Selecione uma Versão mínima do TLS.
Em Perfil, selecione Personalizado. Todos os recursos são mostrados como Recursos desativados no lado direito da página.
Na lista de Recursos, selecione cada pacote de criptografia que você quer ativar. Os conjuntos de criptografia ativados são mostrados como Recursos ativados.
Se houver um balanceador de carga ao qual você quer anexar a política, clique em Aplicar aos destinos e selecione uma regra de encaminhamento como destino da política de SSL. Se quiser, adicione mais destinos.
Clique em Criar.
gcloud
Quando você cria uma política de SSL com o perfil CUSTOM, somente os recursos especificados no comando create são aceitos. Outros recursos não são.
Política de SSL global
Veja a seguir a sintaxe geral para criar uma política de SSL global com um perfil personalizado:
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile CUSTOM \
--min-tls-version 1.0 | 1.1 | 1.2 \
--custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3]
O exemplo a seguir cria uma política de SSL global com o perfil PERSONALIZADO
com uma versão de TLS mínima 1.2 e os recursos
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 e
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile CUSTOM \
--min-tls-version 1.2 \
--custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
Política de SSL regional
Veja a seguir a sintaxe geral para criar uma política de SSL regional com um perfil personalizado:
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile CUSTOM \
--min-tls-version 1.0 | 1.1 | 1.2 \
--custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
--region REGION
O exemplo a seguir cria uma política de SSL regional com o perfil CUSTOM
com uma versão de TLS mínima 1.2 e os recursos
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 e
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile CUSTOM \
--min-tls-version 1.2 \
--custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \
--region us-west1
Listar políticas de SSL
Console
No console do Google Cloud, acesse a página Políticas de SSL.
É possível ver uma lista de todas as políticas de SSL disponíveis. O campo Escopo indica se a política de SSL é global ou regional.
gcloud
Para listar as políticas de SSL globais e regionais, execute:
gcloud compute ssl-policies list
Para listar apenas políticas de SSL globais, execute:
gcloud compute ssl-policies list --global
Para listar apenas políticas de SSL regionais, execute:
gcloud compute ssl-policies list --regions REGION
Listar recursos disponíveis em uma política de SSL
Console
No console do Google Cloud, acesse a página Políticas de SSL.
Clique no nome da política que contém os recursos que você quer ver. Os conjuntos de criptografia ativados e desativados são listados no lado direito da página.
gcloud
Para listar os recursos disponíveis nas políticas de SSL globais:
gcloud compute ssl-policies list-available-features
Para listar os recursos disponíveis nas políticas de SSL regionais:
gcloud compute ssl-policies list-available-features \
--region REGION
Modificar políticas de SSL
Console
Para modificar uma política de SSL global ou regional, siga estas etapas:
No console do Google Cloud, acesse a página Políticas de SSL.
Clique no nome da política que você quer modificar.
Clique em Editar.
Faça as alterações que quiser.
Clique em Salvar.
gcloud
Para modificar uma política de SSL existente, passe qualquer uma ou todas as sinalizações correspondentes aos campos que você quer atualizar. Os campos não especificados não são atualizados.
Se você atualizar os recursos, os que estavam ativados antes serão excluídos e substituídos pelos novos especificados.
Políticas de SSL globais
gcloud compute ssl-policies update SSL_POLICY_NAME \
--profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
--min-tls-version 1.0|1.1|1.2 \
--custom-features FEATURES
Políticas de SSL regional
gcloud compute ssl-policies update SSL_POLICY_NAME \
--profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
--min-tls-version 1.0|1.1|1.2 \
[--custom-features FEATURES \]
--region REGION
Criar um proxy de destino com uma política de SSL
Console
É possível criar um proxy de destino usando o console do Google Cloud ao criar ou atualizar o balanceador de carga, conforme mostrado nos documentos a seguir:
- Configurar um balanceador de carga de rede de proxy externo com um proxy SSL de destino
- Configurar um balanceador de carga de aplicativo externo global
- Configurar um balanceador de carga de aplicativo clássico
- Configurar um balanceador de carga de aplicativo externo regional
- Configurar um balanceador de carga de aplicativo interno regional
- Configurar um balanceador de carga de aplicativo interno entre regiões
gcloud
Para criar um proxy SSL de destino com uma política de SSL global:
gcloud compute target-ssl-proxies create TARGET_SSL_PROXY_NAME \ --backend-service BACKEND_SERVICE_NAME \ --ssl-certificate SSL_CERTIFICATE_NAME \ --ssl-policy SSL_POLICY_NAME
Para criar um proxy HTTPS de destino global com uma política de SSL global:
gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \ --ssl-certificate SSL_CERTIFICATE_NAME \ --url-map URL_MAP_NAME \ --ssl-policy SSL_POLICY_NAME
Para criar um proxy HTTPS de destino regional com uma política de SSL regional:
gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \ --ssl-certificates SSL_CERTIFICATE_NAME \ --url-map URL_MAP_NAME \ --url-map-region REGION \ --ssl-policy SSL_POLICY_NAME \ --region REGION
Anexar uma política de SSL a um proxy de destino
Console
gcloud
Use estes comandos para anexar uma política de SSL a um proxy SSL ou HTTPS.
Para anexar uma política de SSL global a um proxy SSL de destino:
gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
--ssl-policy SSL_POLICY_NAME
Para anexar uma política de SSL global a um proxy HTTPS de destino global:
gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
--ssl-policy SSL_POLICY_NAME
Para anexar uma política de SSL regional a um proxy HTTPS de destino regional:
gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
--ssl-policy SSL_POLICY_NAME \
--region REGION
Se você não fornecer a flag --ssl-policy ou --clear-ssl-policy em uma atualização de proxy de destino (por exemplo, ao atualizar um certificado SSL), a política de SSL não será alterada. A flag --clear-ssl-policy é descrita em Excluir uma política de SSL de um proxy de destino.
API
Para definir uma política de SSL global para um proxy de destino global, use o método targetHttpsProxies.patch.
Para definir uma política de SSL regional para um proxy de destino regional, use o método regionTargetHttpsProxies.patch.
Excluir uma política de SSL de um proxy de destino
Console
gcloud
Use esses comandos para remover uma política de SSL de um proxy SSL ou balanceador
de carga HTTPS. Se você não anexar uma política de SSL diferente ao proxy de destino,
o balanceador de carga usará a política de SSL padrão. Usar a sinalização --clear-ssl-policy
equivale a substituir uma política de SSL pela política SSL padrão.
Para remover uma política de SSL global de um proxy SSL de destino:
gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
--clear-ssl-policy
Para remover uma política de SSL global de um proxy HTTPS de destino global:
gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
--clear-ssl-policy
Para remover uma política de SSL regional de um proxy HTTPS de destino regional:
gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
--clear-ssl-policy \
--region REGION
Quando você fornece a sinalização --clear-ssl-policy no comando update, a política de SSL é removida do proxy.
Se você não fornecer a flag --clear-ssl-policy ou --ssl-policy na atualização de proxy de destino (por exemplo, ao atualizar um certificado SSL), a política de SSL não será alterada. A flag --ssl-policy é descrita em Anexar uma política de SSL existente a um proxy de destino existente.
Limites
- Você pode configurar no máximo 10 políticas de SSL por projeto.
- Não é possível configurar mais de uma política de SSL por proxy.
Referência da API
Para descrições das propriedades e dos métodos disponíveis ao trabalhar com políticas de SSL usando a API REST, consulte:
| Produto | Documentação da API |
|---|---|
|
sslPolicies |
|
regionSslPolicies |
Referência da CLI da gcloud
Para a Google Cloud CLI, consulte:
- gcloud compute ssl-policies
- Global:
--global - Regional:
--region=[REGION]
- Global:
A seguir
- Para informações conceituais sobre políticas de SSL, consulte Políticas de SSL para protocolos SSL e TLS.
- Para informações sobre balanceadores de carga de rede de proxy externo, consulte a visão geral nesta página.
- Para informações sobre balanceadores de carga de aplicativo externos, consulte a visão geral nesta página.