資源:ServerTlsPolicy
「ServerTlsPolicy」這項資源可用於指定伺服器應透過什麼方式驗證傳入要求。除非附加至目標 HTTPS Proxy 或端點設定選取器資源,否則這項資源本身不會影響設定。
應用程式負載平衡器接受的 ServerTlsPolicy 格式,只能透過 EXTERNAL
、EXTERNAL_MANAGED
或 INTERNAL_MANAGED
負載平衡器配置附加至 TargetHttpsProxy。您可以使用 Traffic Director INTERNAL_SELF_MANAGED
負載平衡配置,將 Traffic Director 相容的 ServerTlsPolicies 附加至 EndpointPolicy 和 TargetHttpsProxy。
JSON 表示法 |
---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "labels": { string: string, ... }, "allowOpen": boolean, "serverCertificate": { object ( |
欄位 | |
---|---|
name |
這是必要旗標,ServerTlsPolicy 資源的名稱。符合模式 |
description |
資源的自由文字說明。 |
createTime |
僅供輸出。資源建立時間的時間戳記。 採用 RFC3339 世界標準時間「Zulu」格式的時間戳記,精確度達奈秒單位,最多九個小數位數。例如: |
updateTime |
僅供輸出。資源更新時間的時間戳記。 採用 RFC3339 世界標準時間「Zulu」格式的時間戳記,精確度達奈秒單位,最多九個小數位數。例如: |
labels |
與資源相關聯的標籤集。 包含 |
allowOpen |
這個欄位僅適用於 Traffic Director 政策。對於應用程式負載平衡器政策,必須設為 false。 決定伺服器是否允許明文連線。如果設為 true,伺服器就會允許明文連線。預設為 false。這項設定不會排除其他加密模式。舉例來說,如果設定 如果您想在原地將部署作業升級至 TLS,同時有混合 TLS 和非 TLS 流量傳送至 :80 通訊埠,建議您考慮使用此選項。 |
serverCertificate |
如果要將政策與 Traffic Director 搭配使用,則為選用項目。對於應用程式負載平衡器,則必須為空白。 定義用於佈建伺服器身分的機制 (公開金鑰和私密金鑰)。無法與 |
mtlsPolicy |
如果政策與應用程式負載平衡器搭配使用,則必須填寫這個欄位。對於 Traffic Director,這個欄位可以留空。 定義機制,為點對點驗證憑證提供服務,以便進行點對點驗證 (相互傳輸層安全標準 - mTLS)。如果未指定,系統就不會要求用戶端憑證。系統會將連線視為 TLS,而非 mTLS。如果設定 |
MTLSPolicy
MTLSPolicy 的規格。
JSON 表示法 |
---|
{ "clientValidationMode": enum ( |
欄位 | |
---|---|
clientValidationMode |
如果用戶端向負載平衡器提供無效憑證或未提供憑證, 如果要將政策與應用程式負載平衡器搭配使用,則為必要項目。對於 Traffic Director,則必須留空。 |
clientValidationCa[] |
如果要將政策與 Traffic Director 搭配使用,就必須提供這項資訊。對於應用程式負載平衡器,此欄位必須為空白。 定義取得憑證授權單位憑證的機制,以便驗證用戶端憑證。 |
clientValidationTrustConfig |
參照 certificatemanager.googleapis.com 命名空間中的 TrustConfig。 如果指定,系統會針對指定 TrustConfig 中設定的憑證執行鏈結驗證。 只有在政策要與應用程式負載平衡器搭配使用時,才允許。 |
ClientValidationMode
雙向傳輸層安全標準 (TLS) 憑證驗證模式。
列舉 | |
---|---|
CLIENT_VALIDATION_MODE_UNSPECIFIED |
不允許。 |
ALLOW_INVALID_OR_MISSING_CLIENT_CERT |
即使用戶端憑證的憑證鏈結驗證失敗或未提供用戶端憑證,也允許連線。如果提交了用戶端憑證,系統一律會檢查私密金鑰的證明。在這個模式中,後端必須實作從用戶端憑證擷取的資料處理作業,以便驗證對等端,或在缺少用戶端憑證指紋時拒絕連線。 |
REJECT_INVALID |
要求用戶端憑證,並且只在用戶端憑證通過驗證時,才允許連線至後端。 如果已設定,就必須參照 |
方法 |
|
---|---|
|
在指定的專案和位置中建立新的 ServerTlsPolicy。 |
|
刪除單一 ServerTlsPolicy。 |
|
取得單一 ServerTlsPolicy 的詳細資料。 |
|
取得資源的存取權控管政策。 |
|
列出指定專案和位置中的 ServerTlsPolicies。 |
|
更新單一 ServerTlsPolicy 的參數。 |
|
設定指定資源的存取權控管政策。 |
|
傳回呼叫者在指定資源上擁有的權限。 |