Ressource : ServerTlsPolicy
ServerTlsPolicy est une ressource qui spécifie la manière dont un serveur doit authentifier les requêtes entrantes. Cette ressource elle-même n'affecte pas la configuration, sauf si elle est associée à un proxy HTTPS cible ou à une ressource de sélecteur de configuration de point de terminaison.
Les ServerTlsPolicy au format accepté par les équilibreurs de charge d'application ne peuvent être associés qu'à un TargetHttpsProxy avec un schéma d'équilibrage de charge EXTERNAL, EXTERNAL_MANAGED ou INTERNAL_MANAGED. Les ServerTlsPolicies compatibles avec Traffic Director peuvent être associées à EndpointPolicy et TargetHttpsProxy avec le schéma d'équilibrage de charge Traffic Director INTERNAL_SELF_MANAGED.
| Représentation JSON |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "labels": { string: string, ... }, "allowOpen": boolean, "serverCertificate": { object ( |
| Champs | |
|---|---|
name |
Obligatoire. Nom de la ressource ServerTlsPolicy. Il correspond au modèle |
description |
Description en texte libre de la ressource. |
createTime |
Uniquement en sortie. Code temporel de la création de la ressource. Utilise la norme RFC 3339, où le résultat généré est toujours normalisé avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples : |
updateTime |
Uniquement en sortie. Code temporel de la mise à jour de la ressource. Utilise la norme RFC 3339, où le résultat généré est toujours normalisé avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples : |
labels |
Ensemble de tags de libellé associés à la ressource. Objet contenant une liste de paires |
allowOpen |
Ce champ ne s'applique qu'aux règles Traffic Director. Il doit être défini sur "false" pour les règles d'équilibreur de charge d'application. Détermine si le serveur autorise les connexions en texte brut. Si cette option est définie sur "true", le serveur autorise les connexions en texte brut. Par défaut, la valeur est définie sur "false". Ce paramètre n'est pas exclusif aux autres modes de chiffrement. Par exemple, si Envisagez de l'utiliser si vous souhaitez mettre à niveau votre déploiement vers TLS tout en ayant un trafic mixte TLS et non-TLS atteignant le port 80. |
serverCertificate |
Facultatif si la règle doit être utilisée avec Traffic Director. Pour les équilibreurs de charge d'application, il doit être vide. Définit un mécanisme permettant de provisionner l'identité du serveur (clés publiques et privées). Ne peut pas être combiné avec |
mtlsPolicy |
Ce champ est obligatoire si la règle est utilisée avec des équilibreurs de charge d'application. Ce champ peut être vide pour Traffic Director. Définit un mécanisme permettant de provisionner des certificats de validation des pairs pour l'authentification de pair à pair (TLS mutuel, mTLS). Si aucune valeur n'est spécifiée, aucun certificat client ne sera demandé. La connexion est traitée comme une connexion TLS et non mTLS. Si |
MTLSPolicy
Spécification de MTLSPolicy.
| Représentation JSON |
|---|
{ "clientValidationMode": enum ( |
| Champs | |
|---|---|
clientValidationMode |
Lorsque le client présente un certificat non valide ou aucun certificat à l'équilibreur de charge, Obligatoire si la règle doit être utilisée avec les équilibreurs de charge d'application. Pour Traffic Director, il doit être vide. |
clientValidationCa[] |
Obligatoire si la règle doit être utilisée avec Traffic Director. Pour les équilibreurs de charge d'application, il doit être vide. Définit le mécanisme permettant d'obtenir le certificat de l'autorité de certification pour valider le certificat client. |
clientValidationTrustConfig |
Référence à TrustConfig depuis l'espace de noms certificatemanager.googleapis.com. Si elle est spécifiée, la validation de la chaîne sera effectuée par rapport aux certificats configurés dans la TrustConfig donnée. Autorisé uniquement si la stratégie doit être utilisée avec des équilibreurs de charge d'application. |
tier |
Niveau TLS mutuel. Autorisé uniquement si la stratégie doit être utilisée avec des équilibreurs de charge d'application. |
ClientValidationMode
Mode de validation du certificat TLS mutuel.
| Énumérations | |
|---|---|
CLIENT_VALIDATION_MODE_UNSPECIFIED |
Non autorisé. |
ALLOW_INVALID_OR_MISSING_CLIENT_CERT |
Autoriser la connexion même si la validation de la chaîne de certificats du certificat client a échoué ou si aucun certificat client n'a été présenté. La preuve de possession de la clé privée est toujours vérifiée si un certificat client a été présenté. Ce mode exige que le backend implémente le traitement des données extraites d'un certificat client pour authentifier le pair ou rejeter les connexions si l'empreinte du certificat client est manquante. |
REJECT_INVALID |
Exigez un certificat client et autorisez la connexion au backend uniquement si la validation du certificat client a réussi. Si cette option est définie, elle nécessite une référence à un TrustConfig non vide spécifié dans |
Niveau
Niveau TLS mutuel pour XLB.
| Énumérations | |
|---|---|
TIER_UNSPECIFIED |
Si le niveau n'est pas spécifié dans la requête, le système choisit une valeur par défaut (le niveau STANDARD pour le moment). |
STANDARD |
Niveau par défaut. Principalement destiné aux fournisseurs de logiciels (communication de service à service/API). |
ADVANCED |
Niveau Advanced. Pour les clients dans des environnements fortement réglementés, spécifiez des clés plus longues et des chaînes de certificats complexes. |
Méthodes |
|
|---|---|
|
Crée une ressource ServerTlsPolicy dans un projet et un emplacement donnés. |
|
Supprime une seule stratégie ServerTlsPolicy. |
|
Récupère les informations d'une seule stratégie ServerTlsPolicy. |
|
Répertorie les ServerTlsPolicies d'un projet et d'un emplacement donnés. |
|
Mettre à jour les paramètres d'une seule stratégie ServerTlsPolicy. |