REST Resource: projects.locations.serverTlsPolicies

資源:ServerTlsPolicy

「ServerTlsPolicy」這項資源可用於指定伺服器應透過什麼方式驗證傳入要求。除非附加至目標 HTTPS Proxy 或端點設定選取器資源,否則這項資源本身不會影響設定。

應用程式負載平衡器接受的 ServerTlsPolicy 格式,只能透過 EXTERNALEXTERNAL_MANAGEDINTERNAL_MANAGED 負載平衡器配置附加至 TargetHttpsProxy。您可以使用 Traffic Director INTERNAL_SELF_MANAGED 負載平衡配置,將 Traffic Director 相容的 ServerTlsPolicies 附加至 EndpointPolicy 和 TargetHttpsProxy。

JSON 表示法 
{
  "name": string,
  "description": string,
  "createTime": string,
  "updateTime": string,
  "labels": {
    string: string,
    ...
  },
  "allowOpen": boolean,
  "serverCertificate": {
    object (CertificateProvider)
  },
  "mtlsPolicy": {
    object (MTLSPolicy)
  }
}
欄位
name

string

這是必要旗標,ServerTlsPolicy 資源的名稱。符合模式 projects/*/locations/{location}/serverTlsPolicies/{serverTlsPolicy}
description

string

資源的自由文字說明。
createTime

string (Timestamp format)

僅供輸出。資源建立時間的時間戳記。

採用 RFC3339 世界標準時間「Zulu」格式的時間戳記,精確度達奈秒單位,最多九個小數位數。例如:"2014-10-02T15:01:23Z""2014-10-02T15:01:23.045123456Z"
updateTime

string (Timestamp format)

僅供輸出。資源更新時間的時間戳記。

採用 RFC3339 世界標準時間「Zulu」格式的時間戳記,精確度達奈秒單位,最多九個小數位數。例如:"2014-10-02T15:01:23Z""2014-10-02T15:01:23.045123456Z"
labels

map (key: string, value: string)

與資源相關聯的標籤集。

包含 "key": value 組合清單的物件。範例:{ "name": "wrench", "mass": "1.3kg", "count": "3" }
allowOpen

boolean

這個欄位僅適用於 Traffic Director 政策。對於應用程式負載平衡器政策,必須設為 false。

決定伺服器是否允許明文連線。如果設為 true,伺服器就會允許明文連線。預設為 false。這項設定不會排除其他加密模式。舉例來說,如果設定 allowOpenmtlsPolicy,伺服器就會允許明文和 mTLS 連線。請參閱其他加密模式的說明文件,確認相容性。

如果您想在原地將部署作業升級至 TLS,同時有混合 TLS 和非 TLS 流量傳送至 :80 通訊埠,建議您考慮使用此選項。
serverCertificate

object (CertificateProvider)

如果要將政策與 Traffic Director 搭配使用,則為選用項目。對於應用程式負載平衡器,則必須為空白。

定義用於佈建伺服器身分的機制 (公開金鑰和私密金鑰)。無法與 allowOpen 合併,因為不支援同時允許純文字和 TLS 的寬鬆模式。
mtlsPolicy

object (MTLSPolicy)

如果政策與應用程式負載平衡器搭配使用,則必須填寫這個欄位。對於 Traffic Director,這個欄位可以留空。

定義機制,為點對點驗證憑證提供服務,以便進行點對點驗證 (相互傳輸層安全標準 - mTLS)。如果未指定,系統就不會要求用戶端憑證。系統會將連線視為 TLS,而非 mTLS。如果設定 allowOpenmtlsPolicy,伺服器就會允許明文和 mTLS 連線。

MTLSPolicy

MTLSPolicy 的規格。

JSON 表示法 
{
  "clientValidationMode": enum (ClientValidationMode),
  "clientValidationCa": [
    {
      object (ValidationCA)
    }
  ],
  "clientValidationTrustConfig": string
}
欄位
clientValidationMode

enum (ClientValidationMode)

如果用戶端向負載平衡器提供無效憑證或未提供憑證,clientValidationMode 會指定如何處理用戶端連線。

如果要將政策與應用程式負載平衡器搭配使用,則為必要項目。對於 Traffic Director,則必須留空。
clientValidationCa[]

object (ValidationCA)

如果要將政策與 Traffic Director 搭配使用,就必須提供這項資訊。對於應用程式負載平衡器,此欄位必須為空白。

定義取得憑證授權單位憑證的機制,以便驗證用戶端憑證。
clientValidationTrustConfig

string

參照 certificatemanager.googleapis.com 命名空間中的 TrustConfig。

如果指定,系統會針對指定 TrustConfig 中設定的憑證執行鏈結驗證。

只有在政策要與應用程式負載平衡器搭配使用時,才允許。

ClientValidationMode

雙向傳輸層安全標準 (TLS) 憑證驗證模式。

列舉
CLIENT_VALIDATION_MODE_UNSPECIFIED 不允許。
ALLOW_INVALID_OR_MISSING_CLIENT_CERT 即使用戶端憑證的憑證鏈結驗證失敗或未提供用戶端憑證,也允許連線。如果提交了用戶端憑證,系統一律會檢查私密金鑰的證明。在這個模式中,後端必須實作從用戶端憑證擷取的資料處理作業,以便驗證對等端,或在缺少用戶端憑證指紋時拒絕連線。
REJECT_INVALID

要求用戶端憑證,並且只在用戶端憑證通過驗證時,才允許連線至後端。

如果已設定,就必須參照 clientValidationTrustConfig 中指定的非空 TrustConfig。

方法

create

 在指定的專案和位置中建立新的 ServerTlsPolicy。

delete

 刪除單一 ServerTlsPolicy。

get

 取得單一 ServerTlsPolicy 的詳細資料。

getIamPolicy

 取得資源的存取權控管政策。

list

 列出指定專案和位置中的 ServerTlsPolicies。

patch

 更新單一 ServerTlsPolicy 的參數。

setIamPolicy

 設定指定資源的存取權控管政策。

testIamPermissions

 傳回呼叫者在指定資源上擁有的權限。