REST Resource: projects.locations.serverTlsPolicies

資源:ServerTlsPolicy

「ServerTlsPolicy」這項資源可用於指定伺服器應透過什麼方式驗證傳入要求。除非附加至目標 HTTPS Proxy 或端點設定選取器資源,否則這項資源本身不會影響設定。

應用程式負載平衡器接受的 ServerTlsPolicy 格式只能附加至具有 EXTERNALEXTERNAL_MANAGEDINTERNAL_MANAGED 負載平衡配置的 TargetHttpsProxy。與 Traffic Director 相容的 ServerTlsPolicy 可附加至 EndpointPolicy 和 TargetHttpsProxy,並搭配 Traffic Director INTERNAL_SELF_MANAGED 負載平衡機制。

JSON 表示法 
{
  "name": string,
  "description": string,
  "createTime": string,
  "updateTime": string,
  "labels": {
    string: string,
    ...
  },
  "allowOpen": boolean,
  "serverCertificate": {
    object (CertificateProvider)
  },
  "mtlsPolicy": {
    object (MTLSPolicy)
  }
}
欄位
name

string

這是必要旗標,ServerTlsPolicy 資源的名稱。符合模式 projects/*/locations/{location}/serverTlsPolicies/{serverTlsPolicy}
description

string

資源的自由格式文字說明。
createTime

string (Timestamp format)

僅供輸出。資源的建立時間戳記。

使用 RFC 3339,產生的輸出內容一律會經過 Z 標準化,並使用 0、3、6 或 9 個小數位數。系統也接受「Z」以外的偏移量。例如:"2014-10-02T15:01:23Z""2014-10-02T15:01:23.045123456Z""2014-10-02T15:01:23+05:30"
updateTime

string (Timestamp format)

僅供輸出。資源更新時間的時間戳記。

使用 RFC 3339,產生的輸出內容一律會經過 Z 標準化,並使用 0、3、6 或 9 個小數位數。系統也接受「Z」以外的偏移量。例如:"2014-10-02T15:01:23Z""2014-10-02T15:01:23.045123456Z""2014-10-02T15:01:23+05:30"
labels

map (key: string, value: string)

與資源相關聯的標籤標記集。

包含 "key": value 組合清單的物件。範例:{ "name": "wrench", "mass": "1.3kg", "count": "3" }
allowOpen

boolean

這個欄位僅適用於 Traffic Director 政策。應用程式負載平衡器政策必須設為 false。

決定伺服器是否允許明文連線。如果勾選,伺服器就會允許明文連線。預設值為 false。這項設定不會排除其他加密模式。舉例來說,如果設定 allowOpenmtlsPolicy,伺服器就會允許明文和 mTLS 連線。請參閱其他加密模式的說明文件,確認是否相容。

如果您想將部署作業就地升級至 TLS,同時讓 TLS 和非 TLS 流量抵達通訊埠 :80,建議使用這項功能。
serverCertificate

object (CertificateProvider)

如要將政策與 Traffic Director 搭配使用,這個屬性則變成選用屬性。應用程式負載平衡器必須為空白。

定義用於佈建伺服器身分 (公開和私密金鑰) 的機制。無法與 allowOpen 合併使用,因為系統不支援允許純文字和 TLS 的寬鬆模式。
mtlsPolicy

object (MTLSPolicy)

如果政策與應用程式負載平衡器搭配使用,就必須填寫這個欄位。Traffic Director 的這個欄位可以留空。

定義機制,為對等驗證 (雙向 TLS - mTLS) 提供對等驗證憑證。如未指定,系統就不會要求提供用戶端憑證。系統會將連線視為 TLS,而非 mTLS。如果設定 allowOpenmtlsPolicy,伺服器會允許明文和 mTLS 連線。

MTLSPolicy

MTLSPolicy 的規格。

JSON 表示法 
{
  "clientValidationMode": enum (ClientValidationMode),
  "clientValidationCa": [
    {
      object (ValidationCA)
    }
  ],
  "clientValidationTrustConfig": string,
  "tier": enum (Tier)
}
欄位
clientValidationMode

enum (ClientValidationMode)

如果用戶端向負載平衡器提供無效憑證或未提供憑證,clientValidationMode會指定如何處理用戶端連線。

如要將政策與應用程式負載平衡器搭配使用,則為必要項目。如果是 Traffic Director,則必須留空。
clientValidationCa[]

object (ValidationCA)

如要將政策與 Traffic Director 搭配使用,就必須提供這項資訊。如果是應用程式負載平衡器,則必須為空白。

定義取得憑證授權單位憑證的機制,以驗證用戶端憑證。
clientValidationTrustConfig

string

從 certificatemanager.googleapis.com 命名空間參照 TrustConfig。

如果指定,系統會根據指定 TrustConfig 中設定的憑證執行鏈結驗證。

只有在政策要與應用程式負載平衡器搭配使用時,才允許此值。
tier

enum (Tier)

雙向傳輸層安全標準 (TLS) 層級。

只有在政策要與應用程式負載平衡器搭配使用時,才允許此值。

ClientValidationMode

相互傳輸層安全標準 (TLS) 憑證驗證模式。

列舉
CLIENT_VALIDATION_MODE_UNSPECIFIED 不允許。
ALLOW_INVALID_OR_MISSING_CLIENT_CERT 即使用戶端憑證的憑證鏈結驗證失敗,或未提供用戶端憑證,仍允許連線。如果提供用戶端憑證,系統一律會檢查私密金鑰擁有權證明。這個模式需要後端實作從用戶端憑證擷取資料的處理程序,以驗證對等互連,或在缺少用戶端憑證指紋時拒絕連線。
REJECT_INVALID

要求用戶端憑證,且只有在通過用戶端憑證驗證時,才允許連線至後端。

如要設定,必須參照 clientValidationTrustConfig 中指定的不為空白 TrustConfig。

級別

XLB 的雙向傳輸層安全標準 (TLS) 層級。

列舉
TIER_UNSPECIFIED 如果要求中未指定層級,系統會選擇預設值,目前為 STANDARD 層級。
STANDARD 預設層級。主要適用於軟體供應商 (服務對服務/API 通訊)。
ADVANCED 進階級別。對於處於嚴格監管環境的客戶,請指定較長的金鑰和複雜的憑證鏈結。

方法

create

 在指定專案和位置中建立新的 ServerTlsPolicy。

delete

 刪除單一 ServerTlsPolicy。

get

 取得單一 ServerTlsPolicy 的詳細資料。

list

 列出指定專案和位置中的 ServerTlsPolicies。

patch

 更新單一 ServerTlsPolicy 的參數。