REST Resource: projects.locations.serverTlsPolicies

Ressource : ServerTlsPolicy

ServerTlsPolicy est une ressource qui spécifie la manière dont un serveur doit authentifier les requêtes entrantes. Cette ressource elle-même n'affecte pas la configuration, sauf si elle est associée à un proxy HTTPS cible ou à une ressource de sélecteur de configuration de point de terminaison.

Les ServerTlsPolicy au format accepté par les équilibreurs de charge d'application ne peuvent être associés qu'à un TargetHttpsProxy avec un schéma d'équilibrage de charge EXTERNAL, EXTERNAL_MANAGED ou INTERNAL_MANAGED. Les ServerTlsPolicies compatibles avec Traffic Director peuvent être associées à EndpointPolicy et TargetHttpsProxy avec le schéma d'équilibrage de charge Traffic Director INTERNAL_SELF_MANAGED.

Représentation JSON
{
  "name": string,
  "description": string,
  "createTime": string,
  "updateTime": string,
  "labels": {
    string: string,
    ...
  },
  "allowOpen": boolean,
  "serverCertificate": {
    object (CertificateProvider)
  },
  "mtlsPolicy": {
    object (MTLSPolicy)
  }
}
Champs
name

string

Obligatoire. Nom de la ressource ServerTlsPolicy. Il correspond au modèle projects/*/locations/{location}/serverTlsPolicies/{serverTlsPolicy}

description

string

Description en texte libre de la ressource.

createTime

string (Timestamp format)

Uniquement en sortie. Code temporel de la création de la ressource.

Utilise la norme RFC 3339, où le résultat généré est toujours normalisé avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples : "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

updateTime

string (Timestamp format)

Uniquement en sortie. Code temporel de la mise à jour de la ressource.

Utilise la norme RFC 3339, où le résultat généré est toujours normalisé avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples : "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

labels

map (key: string, value: string)

Ensemble de tags de libellé associés à la ressource.

Objet contenant une liste de paires "key": value. Exemple : { "name": "wrench", "mass": "1.3kg", "count": "3" }.

allowOpen

boolean

Ce champ ne s'applique qu'aux règles Traffic Director. Il doit être défini sur "false" pour les règles d'équilibreur de charge d'application.

Détermine si le serveur autorise les connexions en texte brut. Si cette option est définie sur "true", le serveur autorise les connexions en texte brut. Par défaut, la valeur est définie sur "false". Ce paramètre n'est pas exclusif aux autres modes de chiffrement. Par exemple, si allowOpen et mtlsPolicy sont définis, le serveur autorise les connexions en texte brut et mTLS. Consultez la documentation des autres modes de chiffrement pour vérifier la compatibilité.

Envisagez de l'utiliser si vous souhaitez mettre à niveau votre déploiement vers TLS tout en ayant un trafic mixte TLS et non-TLS atteignant le port 80.

serverCertificate

object (CertificateProvider)

Facultatif si la règle doit être utilisée avec Traffic Director. Pour les équilibreurs de charge d'application, il doit être vide.

Définit un mécanisme permettant de provisionner l'identité du serveur (clés publiques et privées). Ne peut pas être combiné avec allowOpen, car un mode permissif qui autorise à la fois le texte brut et TLS n'est pas pris en charge.

mtlsPolicy

object (MTLSPolicy)

Ce champ est obligatoire si la règle est utilisée avec des équilibreurs de charge d'application. Ce champ peut être vide pour Traffic Director.

Définit un mécanisme permettant de provisionner des certificats de validation des pairs pour l'authentification de pair à pair (TLS mutuel, mTLS). Si aucune valeur n'est spécifiée, aucun certificat client ne sera demandé. La connexion est traitée comme une connexion TLS et non mTLS. Si allowOpen et mtlsPolicy sont définis, le serveur autorise les connexions en texte brut et mTLS.

MTLSPolicy

Spécification de MTLSPolicy.

Représentation JSON
{
  "clientValidationMode": enum (ClientValidationMode),
  "clientValidationCa": [
    {
      object (ValidationCA)
    }
  ],
  "clientValidationTrustConfig": string,
  "tier": enum (Tier)
}
Champs
clientValidationMode

enum (ClientValidationMode)

Lorsque le client présente un certificat non valide ou aucun certificat à l'équilibreur de charge, clientValidationMode spécifie la manière dont la connexion client est gérée.

Obligatoire si la règle doit être utilisée avec les équilibreurs de charge d'application. Pour Traffic Director, il doit être vide.

clientValidationCa[]

object (ValidationCA)

Obligatoire si la règle doit être utilisée avec Traffic Director. Pour les équilibreurs de charge d'application, il doit être vide.

Définit le mécanisme permettant d'obtenir le certificat de l'autorité de certification pour valider le certificat client.

clientValidationTrustConfig

string

Référence à TrustConfig depuis l'espace de noms certificatemanager.googleapis.com.

Si elle est spécifiée, la validation de la chaîne sera effectuée par rapport aux certificats configurés dans la TrustConfig donnée.

Autorisé uniquement si la stratégie doit être utilisée avec des équilibreurs de charge d'application.

tier

enum (Tier)

Niveau TLS mutuel.

Autorisé uniquement si la stratégie doit être utilisée avec des équilibreurs de charge d'application.

ClientValidationMode

Mode de validation du certificat TLS mutuel.

Énumérations
CLIENT_VALIDATION_MODE_UNSPECIFIED Non autorisé.
ALLOW_INVALID_OR_MISSING_CLIENT_CERT Autoriser la connexion même si la validation de la chaîne de certificats du certificat client a échoué ou si aucun certificat client n'a été présenté. La preuve de possession de la clé privée est toujours vérifiée si un certificat client a été présenté. Ce mode exige que le backend implémente le traitement des données extraites d'un certificat client pour authentifier le pair ou rejeter les connexions si l'empreinte du certificat client est manquante.
REJECT_INVALID

Exigez un certificat client et autorisez la connexion au backend uniquement si la validation du certificat client a réussi.

Si cette option est définie, elle nécessite une référence à un TrustConfig non vide spécifié dans clientValidationTrustConfig.

Niveau

Niveau TLS mutuel pour XLB.

Énumérations
TIER_UNSPECIFIED Si le niveau n'est pas spécifié dans la requête, le système choisit une valeur par défaut (le niveau STANDARD pour le moment).
STANDARD Niveau par défaut. Principalement destiné aux fournisseurs de logiciels (communication de service à service/API).
ADVANCED Niveau Advanced. Pour les clients dans des environnements fortement réglementés, spécifiez des clés plus longues et des chaînes de certificats complexes.

Méthodes

create

Crée une ressource ServerTlsPolicy dans un projet et un emplacement donnés.

delete

Supprime une seule stratégie ServerTlsPolicy.

get

Récupère les informations d'une seule stratégie ServerTlsPolicy.

list

Répertorie les ServerTlsPolicies d'un projet et d'un emplacement donnés.

patch

Mettre à jour les paramètres d'une seule stratégie ServerTlsPolicy.