Risorsa: ServerTlsPolicy
ServerTlsPolicy è una risorsa che specifica in che modo un server deve autenticare le richieste in entrata. Questa risorsa non influisce sulla configurazione, a meno che non venga collegata a un proxy HTTPS di destinazione o a una risorsa del selettore di configurazione degli endpoint.
ServerTlsPolicy nel formato accettato dai bilanciatori del carico delle applicazioni può essere collegato solo a TargetHttpsProxy con uno schema di bilanciamento del carico EXTERNAL, EXTERNAL_MANAGED o INTERNAL_MANAGED. I ServerTlsPolicy compatibili con Traffic Director possono essere collegati a EndpointPolicy e TargetHttpsProxy con lo schema di bilanciamento del carico INTERNAL_SELF_MANAGED di Traffic Director.
| Rappresentazione JSON |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "labels": { string: string, ... }, "allowOpen": boolean, "serverCertificate": { object ( |
| Campi | |
|---|---|
name |
Obbligatorio. Nome della risorsa ServerTlsPolicy. Corrisponde al pattern |
description |
Descrizione in formato libero della risorsa. |
createTime |
Solo output. Timestamp di creazione della risorsa. Un timestamp in formato "Zulu" UTC RFC3339, con risoluzione a livello di nanosecondo e fino a nove cifre frazionarie. Esempi: |
updateTime |
Solo output. Timestamp dell'aggiornamento della risorsa. Un timestamp in formato "Zulu" UTC RFC3339, con risoluzione a livello di nanosecondo e fino a nove cifre frazionarie. Esempi: |
labels |
Set di tag etichetta associati alla risorsa. Un oggetto contenente un elenco di coppie |
allowOpen |
Questo campo si applica solo ai criteri Traffic Director. Deve essere impostato su false per i criteri del bilanciatore del carico delle applicazioni. Determina se il server consente connessioni in testo normale. Se impostato su true, il server consente connessioni in testo normale. Per impostazione predefinita, è impostato su false. Questa impostazione non esclude altre modalità di crittografia. Ad esempio, se sono impostati Valuta la possibilità di utilizzarlo se vuoi eseguire l'upgrade in situ del tuo deployment a TLS pur avendo traffico misto TLS e non TLS che raggiunge la porta :80. |
serverCertificate |
Facoltativo se il criterio deve essere utilizzato con Traffic Director. Per i bilanciatori del carico delle applicazioni deve essere vuoto. Definisce un meccanismo per il provisioning dell'identità del server (chiavi pubbliche e private). Non può essere combinato con |
mtlsPolicy |
Questo campo è obbligatorio se il criterio viene utilizzato con i bilanciatori del carico delle applicazioni. Questo campo può essere vuoto per Traffic Director. Definisce un meccanismo per il provisioning dei certificati di convalida dei peer per l'autenticazione peer to peer (TLS reciproca - mTLS). Se non specificato, il certificato client non verrà richiesto. La connessione viene trattata come TLS e non mTLS. Se sono impostati |
MTLSPolicy
Specifica di MTLSPolicy.
| Rappresentazione JSON |
|---|
{ "clientValidationMode": enum ( |
| Campi | |
|---|---|
clientValidationMode |
Se il client ha un certificato non valido o non ha nessun certificato per il bilanciatore del carico, Obbligatorio se il criterio deve essere utilizzato con i bilanciatori del carico delle applicazioni. Per Traffic Director deve essere vuoto. |
clientValidationCa[] |
Obbligatorio se il criterio deve essere utilizzato con Traffic Director. Per i bilanciatori del carico delle applicazioni deve essere vuoto. Definisce il meccanismo per ottenere il certificato dell'autorità di certificazione per convalidare il certificato client. |
clientValidationTrustConfig |
Riferimento a TrustConfig dallo spazio dei nomi certificatemanager.googleapis.com. Se specificato, la convalida della catena verrà eseguita in base ai certificati configurati in TrustConfig. Consentito solo se il criterio deve essere utilizzato con i bilanciatori del carico delle applicazioni. |
ClientValidationMode
Modalità di convalida del certificato TLS reciproco.
| Enum | |
|---|---|
CLIENT_VALIDATION_MODE_UNSPECIFIED |
Non consentito. |
ALLOW_INVALID_OR_MISSING_CLIENT_CERT |
Consenti la connessione anche se la convalida della catena di certificati del certificato client non è riuscita o non è stato presentato alcun certificato client. La prova della proprietà della chiave privata viene sempre verificata se è stato presentato il certificato client. Questa modalità richiede che il backend implementi l'elaborazione dei dati estratti da un certificato client per autenticare il peer o per rifiutare le connessioni se manca l'impronta del certificato client. |
REJECT_INVALID |
Richiedi un certificato client e consenti la connessione al backend solo se la convalida del certificato client è andata a buon fine. Se impostato, richiede un riferimento a TrustConfig non vuoto specificato in |
Metodi |
|
|---|---|
|
Crea un nuovo ServerTlsPolicy in un determinato progetto e posizione. |
|
Consente di eliminare un singolo ServerTlsPolicy. |
|
Recupera i dettagli di un singolo ServerTlsPolicy. |
|
Recupera il criterio di controllo dell'accesso per una risorsa. |
|
Elenca ServerTlsPolicies in un determinato progetto e posizione. |
|
Aggiorna i parametri di un singolo ServerTlsPolicy. |
|
Imposta il criterio di controllo dell'accesso sulla risorsa specificata. |
|
Restituisce le autorizzazioni di cui dispone un chiamante sulla risorsa specificata. |