リソース: ServerTlsPolicy
ServerTlsPolicy は、サーバーの受信リクエストの認証方法を指定するリソースです。このリソースは、ターゲット HTTPS プロキシまたはエンドポイントの構成セレクタのリソースに接続されていない限り、構成には影響しません。
アプリケーション ロードバランサで受け入れられる形式の ServerTlsPolicy は、EXTERNAL、EXTERNAL_MANAGED、または INTERNAL_MANAGED のロード バランシング スキームを持つ TargetHttpsProxy にのみ適用できます。Traffic Director 互換の ServerTlsPolicy は、Traffic Director INTERNAL_SELF_MANAGED ロード バランシング スキームを持つ EndpointPolicy と TargetHttpsProxy に接続できます。
| JSON 表現 |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "labels": { string: string, ... }, "allowOpen": boolean, "serverCertificate": { object ( |
| フィールド | |
|---|---|
name |
必須。ServerTlsPolicy リソースの名前。パターン |
description |
フリーテキストでのリソースの説明。 |
createTime |
出力専用。リソース作成時のタイムスタンプ。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
updateTime |
出力専用。リソース更新時のタイムスタンプ。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
labels |
ゲートウェイ リソースに関連付けられたラベルタグのセット。
|
allowOpen |
このフィールドは Traffic Director ポリシーにのみ適用されます。アプリケーション ロードバランサ ポリシーの場合は false に設定する必要があります。 書式なしテキスト接続をサーバーが許可するかどうかを指定しますtrue に設定すると、サーバーは書式なしテキスト接続を許可します。デフォルトでは false に設定されています。この設定は、他の暗号化モードを排除するものではありません。たとえば、 ポート :80 に到達する TLS トラフィックと TLS 以外のトラフィックを混在させながら、デプロイを TLS にインプレースでアップグレードする場合は、この方法の使用を検討してください。 |
serverCertificate |
ポリシーを Traffic Director で使用する場合は省略可能です。アプリケーション ロードバランサの場合は空にする必要があります。 サーバー ID(公開鍵と秘密鍵)をプロビジョニングするメカニズムを定義します。 |
mtlsPolicy |
ポリシーをアプリケーション ロードバランサで使用する場合、このフィールドは必須です。Traffic Director の場合、このフィールドは空白にできます。 ピアツーピア認証(相互 TLS - mTLS)用のピア検証証明書をプロビジョニングするメカニズムを定義します。指定しない場合、クライアント証明書はリクエストされません。接続は mTLS ではなく TLS として扱われます。 |
MTLSPolicy
MTLSPolicy の仕様。
| JSON 表現 |
|---|
{ "clientValidationMode": enum ( |
| フィールド | |
|---|---|
clientValidationMode |
クライアントがロードバランサに無効な証明書を提示するか、証明書を提示しない場合は、 ポリシーをアプリケーション ロードバランサで使用する場合は必須です。Traffic Director の場合は空にする必要があります。 |
clientValidationCa[] |
ポリシーを Traffic Director で使用する場合は必須です。アプリケーション ロードバランサの場合は空にする必要があります。 クライアント証明書を検証するための Certificate Authority 証明書を取得するメカニズムを定義します。 |
clientValidationTrustConfig |
certificatemanager.googleapis.com 名前空間から TrustConfig への参照。 指定した場合、チェーン検証は、指定された TrustConfig で構成された証明書に対して実行されます。 ポリシーをアプリケーション ロードバランサで使用する場合にのみ許可されます。 |
tier |
相互 TLS ティア。 ポリシーをアプリケーション ロードバランサで使用する場合にのみ許可されます。 |
ClientValidationMode
相互 TLS 証明書の検証モード。
| 列挙型 | |
|---|---|
CLIENT_VALIDATION_MODE_UNSPECIFIED |
許可されていません。 |
ALLOW_INVALID_OR_MISSING_CLIENT_CERT |
クライアント証明書の証明書チェーン検証が失敗した場合や、クライアント証明書が提示されていない場合でも、接続が許可されます。クライアント証明書が提供されたときに、秘密鍵の所有者証明が常にチェックされます。このモードでは、バックエンドがクライアント証明書から抽出したデータの処理を実装してピアを認証するか、クライアント証明書フィンガープリントが欠落している場合は接続を拒否する必要があります。 |
REJECT_INVALID |
クライアント証明書を必須とし、クライアント証明書の検証に合格した場合にのみ、バックエンドへの接続を許可します。 設定する場合は、 |
ティア
XLB の相互 TLS ティア。
| 列挙型 | |
|---|---|
TIER_UNSPECIFIED |
リクエストでティアが指定されていない場合、システムはデフォルト値(現在は STANDARD ティア)を選択します。 |
STANDARD |
デフォルトのティア。主にソフトウェア プロバイダ(サービス間 / API 通信)を対象としています。 |
ADVANCED |
高度なティア。規制の厳しい環境で、長い鍵や複雑な証明書チェーンを指定する必要があるお客様を対象としています。 |
メソッド |
|
|---|---|
|
指定されたプロジェクトとロケーションで新しい ServerTlsPolicy を作成します。 |
|
1 つの ServerTlsPolicy を削除します。 |
|
1 つの ServerTlsPolicy の詳細情報を取得します。 |
|
指定されたプロジェクトとロケーションの ServerTlsPolicies を一覧表示します。 |
|
単一の ServerTlsPolicy のパラメータを更新します。 |