REST Resource: projects.locations.serverTlsPolicies

Resource: ServerTlsPolicy

ServerTlsPolicy adalah resource yang menentukan cara server mengautentikasi permintaan masuk. Resource ini sendiri tidak memengaruhi konfigurasi kecuali jika dilampirkan ke resource pemilih konfigurasi endpoint atau proxy HTTPS target.

ServerTlsPolicy dalam bentuk yang diterima oleh load balancer HTTPS eksternal hanya dapat ditambahkan ke TargetHttpsProxy dengan skema load balancing EXTERNAL atau EXTERNAL_MANAGED. ServerTlsPolicies yang kompatibel dengan Traffic Director dapat dilampirkan ke EndpointPolicy dan TargetHttpsProxy dengan skema load balancing INTERNAL_SELF_MANAGED Traffic Director.

Representasi JSON 
{
  "name": string,
  "description": string,
  "createTime": string,
  "updateTime": string,
  "labels": {
    string: string,
    ...
  },
  "allowOpen": boolean,
  "serverCertificate": {
    object (CertificateProvider)
  },
  "mtlsPolicy": {
    object (MTLSPolicy)
  },
  "internalCaller": boolean,
  "minTlsVersion": enum (TlsVersion),
  "maxTlsVersion": enum (TlsVersion),
  "cipherSuites": [
    string
  ],
  "subjectAltNames": [
    string
  ]
}
Kolom
name

string

Wajib. Nama resource ServerTlsPolicy. Cocok dengan pola projects/*/locations/{location}/serverTlsPolicies/{serverTlsPolicy}
description

string

Deskripsi teks bebas resource.
createTime

string (Timestamp format)

Hanya output. Stempel waktu saat resource dibuat.

Stempel waktu dalam format RFC3339 UTC "Zulu", dengan resolusi nanodetik dan maksimal sembilan digit fraksional. Contoh: "2014-10-02T15:01:23Z" dan "2014-10-02T15:01:23.045123456Z".
updateTime

string (Timestamp format)

Hanya output. Stempel waktu saat resource diupdate.

Stempel waktu dalam format RFC3339 UTC "Zulu", dengan resolusi nanodetik dan maksimal sembilan digit fraksional. Contoh: "2014-10-02T15:01:23Z" dan "2014-10-02T15:01:23.045123456Z".
labels

map (key: string, value: string)

Kumpulan tag label yang terkait dengan resource.

Objek yang berisi daftar pasangan "key": value. Contoh: { "name": "wrench", "mass": "1.3kg", "count": "3" }.
allowOpen

boolean

Kolom ini hanya berlaku untuk kebijakan Traffic Director. Atribut ini harus ditetapkan ke false untuk kebijakan load balancer HTTPS eksternal.

Menentukan apakah server mengizinkan koneksi teks biasa. Jika disetel ke benar (true), server akan mengizinkan koneksi teks biasa. Secara default, ini disetel ke salah (false). Setelan ini tidak hanya tersedia di mode enkripsi lainnya. Misalnya, jika allowOpen dan mtlsPolicy ditetapkan, server akan mengizinkan koneksi teks biasa dan mTLS. Lihat dokumentasi mode enkripsi lainnya untuk memastikan kompatibilitas.

Pertimbangkan untuk menggunakannya jika Anda ingin mengupgrade deployment ke TLS selagi traffic TLS dan non-TLS campuran mencapai port :80.
serverCertificate

object (CertificateProvider)

Opsional jika kebijakan akan digunakan dengan Traffic Director. Untuk load balancer HTTPS eksternal harus kosong.

Mendefinisikan mekanisme untuk menyediakan identitas server (kunci publik dan pribadi). Tidak dapat dikombinasikan dengan allowOpen sebagai mode permisif yang memungkinkan teks biasa dan TLS tidak didukung.
mtlsPolicy

object (MTLSPolicy)

Kolom ini wajib ada jika kebijakan digunakan dengan load balancer HTTPS eksternal. Kolom ini dapat kosong untuk Traffic Director.

Menentukan mekanisme untuk menyediakan sertifikat validasi peer untuk autentikasi peer to peer (Mutual TLS - mTLS). Jika tidak ditentukan, sertifikat klien tidak akan diminta. Koneksi diperlakukan sebagai TLS, bukan mTLS. Jika allowOpen dan mtlsPolicy disetel, server akan mengizinkan koneksi teks biasa dan mTLS.
internalCaller

boolean

Opsional. Tanda yang ditetapkan untuk mengidentifikasi pengontrol internal. Setelan ini akan memicu pemeriksaan P4SA untuk memvalidasi pemanggil berasal dari P4SA layanan yang diizinkan meskipun kolom opsional lainnya tidak disetel.
minTlsVersion

enum (TlsVersion)

Opsional. Versi min TLS yang digunakan hanya untuk Envoy. Jika tidak ditentukan, Envoy akan menggunakan versi default. Envoy terbaru: https://www.envoyproxy.io/docs/envoy/latest/api-v3/extensions/transport_sockets/tls/v3/common.proto
maxTlsVersion

enum (TlsVersion)

Opsional. Versi TLS maks hanya digunakan untuk Envoy. Jika tidak ditentukan, Envoy akan menggunakan versi default. Envoy terbaru: https://www.envoyproxy.io/docs/envoy/latest/api-v3/extensions/transport_sockets/tls/v3/common.proto
cipherSuites[]

string

Opsional. Cipher suite kustom TLS hanya digunakan di CSM. berikut penyandian yang didukung: ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA-SHA384 ECDHE-EC-CHACHA20-POLY130
subjectAltNames[]

string

Opsional. Validasi sisi server untuk SAN klien, hanya digunakan di CSM. Jika tidak ditentukan, SAN klien tidak akan diperiksa oleh server.

MTLSPolicy

Spesifikasi Kebijakan MTLS.

Representasi JSON 
{
  "clientValidationMode": enum (ClientValidationMode),
  "clientValidationCa": [
    {
      object (ValidationCA)
    }
  ],
  "clientValidationTrustConfig": string,
  "tier": enum (Tier)
}
Kolom
clientValidationMode

enum (ClientValidationMode)

Jika klien menyajikan sertifikat yang tidak valid atau tidak ada sertifikat ke load balancer, clientValidationMode akan menentukan cara penanganan koneksi klien.

Wajib jika kebijakan akan digunakan dengan load balancing HTTPS eksternal. Untuk Traffic Director, kolom ini harus kosong.
clientValidationCa[]

object (ValidationCA)

Wajib jika kebijakan akan digunakan dengan Traffic Director. Untuk load balancer HTTPS eksternal, load balancer harus kosong.

Mendefinisikan mekanisme untuk mendapatkan sertifikat Certificate Authority guna memvalidasi sertifikat klien.
clientValidationTrustConfig

string

Referensi ke TrustConfig dari namespace certificatemanager.googleapis.com.

Jika ditentukan, validasi rantai akan dilakukan terhadap sertifikat yang dikonfigurasi di TrustConfig yang ditentukan.

Hanya diizinkan jika kebijakan akan digunakan dengan load balancer HTTPS eksternal.
tier

enum (Tier)

Tingkat TLS bersama.

Hanya diizinkan jika kebijakan akan digunakan dengan load balancer HTTPS eksternal.

ClientValidationMode

Mode validasi sertifikat TLS bersama.

Enum
CLIENT_VALIDATION_MODE_UNSPECIFIED Tidak diizinkan.
ALLOW_INVALID_OR_MISSING_CLIENT_CERT Izinkan koneksi meskipun validasi rantai sertifikat sertifikat klien gagal atau tidak ada sertifikat klien yang ditampilkan. Bukti kepemilikan kunci pribadi selalu diperiksa jika sertifikat klien diberikan. Mode ini mengharuskan backend menerapkan pemrosesan data yang diekstrak dari sertifikat klien untuk mengautentikasi peer, atau menolak koneksi jika sidik jari sertifikat klien tidak ada.
REJECT_INVALID

Mewajibkan sertifikat klien dan mengizinkan koneksi ke backend hanya jika validasi sertifikat klien lulus.

Jika disetel, referensi ke TrustConfig tidak kosong yang ditentukan di clientValidationTrustConfig diperlukan.

Tingkat

Tingkat TLS bersama untuk XLB.

Enum
TIER_UNSPECIFIED Jika tingkat tidak ditentukan dalam permintaan, sistem akan memilih nilai default - tingkat STANDARD saat ini.
STANDARD Tingkat Default. Terutama untuk Penyedia Software (layanan ke layanan/komunikasi API).
ADVANCED Tingkat Lanjutan. Untuk pelanggan dalam lingkungan yang diatur dengan ketat, menentukan kunci yang lebih panjang, rantai sertifikat yang kompleks.

TlsVersion

Versi TLS untuk setelan versi TLS Gateway CSM.

Enum
TLS_VERSION_UNSPECIFIED
TLS_V1_0
TLS_V1_1
TLS_V1_2
TLS_V1_3

Metode

create

 Membuat ServerTlsPolicy baru di project dan lokasi tertentu.

delete

 Menghapus satu ServerTlsPolicy.

get

 Mendapatkan detail satu ServerTlsPolicy.

getIamPolicy

 Mendapatkan kebijakan kontrol akses untuk resource.

list

 Mencantumkan ServerTlsPolicies dalam project dan lokasi tertentu.

patch

 Memperbarui parameter satu ServerTlsPolicy.

setIamPolicy

 Menetapkan kebijakan kontrol akses pada resource yang ditentukan.

testIamPermissions

 Menampilkan izin yang dimiliki pemanggil atas resource yang ditentukan.