REST Resource: projects.locations.serverTlsPolicies

Risorsa: ServerTlsPolicy

ServerTlsPolicy è una risorsa che specifica in che modo un server deve autenticare le richieste in entrata. Questa risorsa non influisce sulla configurazione, a meno che non venga collegata a un proxy HTTPS di destinazione o a una risorsa del selettore di configurazione degli endpoint.

ServerTlsPolicy nel formato accettato dai bilanciatori del carico delle applicazioni può essere collegato solo a TargetHttpsProxy con uno schema di bilanciamento del carico EXTERNAL, EXTERNAL_MANAGED o INTERNAL_MANAGED. Le ServerTlsPolicy compatibili con Traffic Director possono essere associate a EndpointPolicy e TargetHttpsProxy con lo schema di bilanciamento del carico INTERNAL_SELF_MANAGED di Traffic Director.

Rappresentazione JSON
{
  "name": string,
  "description": string,
  "createTime": string,
  "updateTime": string,
  "labels": {
    string: string,
    ...
  },
  "allowOpen": boolean,
  "serverCertificate": {
    object (CertificateProvider)
  },
  "mtlsPolicy": {
    object (MTLSPolicy)
  }
}
Campi
name

string

Obbligatorio. Nome della risorsa ServerTlsPolicy. Corrisponde al pattern projects/*/locations/{location}/serverTlsPolicies/{serverTlsPolicy}

description

string

Descrizione in formato libero della risorsa.

createTime

string (Timestamp format)

Solo output. Timestamp di creazione della risorsa.

Utilizza RFC 3339, in cui l'output generato è sempre normalizzato in base al fuso orario UTC e utilizza 0, 3, 6 o 9 cifre frazionarie. Sono accettati anche offset diversi da "Z". Esempi: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" o "2014-10-02T15:01:23+05:30".

updateTime

string (Timestamp format)

Solo output. Timestamp dell'aggiornamento della risorsa.

Utilizza RFC 3339, in cui l'output generato è sempre normalizzato in base al fuso orario UTC e utilizza 0, 3, 6 o 9 cifre frazionarie. Sono accettati anche offset diversi da "Z". Esempi: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" o "2014-10-02T15:01:23+05:30".

labels

map (key: string, value: string)

Il set di tag etichetta associati alla risorsa.

Un oggetto contenente un elenco di coppie "key": value. Esempio: { "name": "wrench", "mass": "1.3kg", "count": "3" }.

allowOpen

boolean

Questo campo si applica solo alle norme di Traffic Director. Deve essere impostato su false per le policy del bilanciatore del carico delle applicazioni.

Determina se il server consente connessioni in testo normale. Se impostato su true, il server consente connessioni in testo normale. Per impostazione predefinita, è impostato su false. Questa impostazione non esclude altre modalità di crittografia. Ad esempio, se sono impostati allowOpen e mtlsPolicy, il server consente connessioni sia in testo normale che mTLS. Consulta la documentazione di altre modalità di crittografia per verificare la compatibilità.

Valuta la possibilità di utilizzarlo se vuoi eseguire l'upgrade sul posto del deployment a TLS, consentendo al contempo il traffico misto TLS e non TLS di raggiungere la porta :80.

serverCertificate

object (CertificateProvider)

Facoltativo se la policy deve essere utilizzata con Traffic Director. Per i bilanciatori del carico delle applicazioni deve essere vuoto.

Definisce un meccanismo per il provisioning dell'identità del server (chiavi pubblica e privata). Non può essere combinato con allowOpen perché non è supportata una modalità permissiva che consenta sia il testo normale che TLS.

mtlsPolicy

object (MTLSPolicy)

Questo campo è obbligatorio se il criterio viene utilizzato con i bilanciatori del carico delle applicazioni. Questo campo può essere vuoto per Traffic Director.

Definisce un meccanismo per il provisioning dei certificati di convalida peer per l'autenticazione peer-to-peer (TLS reciproca - mTLS). Se non specificato, il certificato client non verrà richiesto. La connessione viene trattata come TLS e non mTLS. Se allowOpen e mtlsPolicy sono impostati, il server consente connessioni sia in testo normale sia mTLS.

MTLSPolicy

Specifica di MTLSPolicy.

Rappresentazione JSON
{
  "clientValidationMode": enum (ClientValidationMode),
  "clientValidationCa": [
    {
      object (ValidationCA)
    }
  ],
  "clientValidationTrustConfig": string,
  "tier": enum (Tier)
}
Campi
clientValidationMode

enum (ClientValidationMode)

Se il client ha un certificato non valido o non ha nessun certificato per il bilanciatore del carico, clientValidationMode specifica come viene gestita la connessione del client.

Obbligatorio se la policy deve essere utilizzata con i bilanciatori del carico delle applicazioni. Per Traffic Director deve essere vuoto.

clientValidationCa[]

object (ValidationCA)

Obbligatorio se le norme devono essere utilizzate con Traffic Director. Per i bilanciatori del carico delle applicazioni, deve essere vuoto.

Definisce il meccanismo per ottenere il certificato dell'autorità di certificazione per convalidare il certificato client.

clientValidationTrustConfig

string

Riferimento a TrustConfig dallo spazio dei nomi certificatemanager.googleapis.com.

Se specificata, la convalida della catena verrà eseguita in base ai certificati configurati nella TrustConfig specificata.

Consentito solo se il criterio deve essere utilizzato con i bilanciatori del carico delle applicazioni.

tier

enum (Tier)

Livello TLS reciproco.

Consentito solo se il criterio deve essere utilizzato con i bilanciatori del carico delle applicazioni.

ClientValidationMode

Modalità di convalida del certificato TLS reciproca.

Enum
CLIENT_VALIDATION_MODE_UNSPECIFIED Non consentito.
ALLOW_INVALID_OR_MISSING_CLIENT_CERT Consente la connessione anche se la convalida della catena di certificati del certificato client non è riuscita o non è stato presentato alcun certificato client. La prova del possesso della chiave privata viene sempre verificata se è stato presentato il certificato client. Questa modalità richiede che il backend implementi l'elaborazione dei dati estratti da un certificato client per autenticare il peer o per rifiutare le connessioni se manca l'impronta del certificato client.
REJECT_INVALID

Richiedi un certificato client e consenti la connessione al backend solo se la convalida del certificato client è riuscita.

Se impostato, richiede un riferimento a TrustConfig non vuoto specificato in clientValidationTrustConfig.

Livello

Livello TLS reciproco per XLB.

Enum
TIER_UNSPECIFIED Se il livello non è specificato nella richiesta, il sistema sceglierà un valore predefinito, ovvero il livello STANDARD al momento.
STANDARD Livello predefinito. Principalmente per i fornitori di software (comunicazione da servizio a servizio/API).
ADVANCED Livello avanzato. Per i clienti in ambienti fortemente regolamentati, specifica chiavi più lunghe e catene di certificati complesse.

Metodi

create

Crea una nuova ServerTlsPolicy in un determinato progetto e una determinata località.

delete

Elimina un singolo ServerTlsPolicy.

get

Recupera i dettagli di un singolo ServerTlsPolicy.

list

Elenca i ServerTlsPolicies in un determinato progetto e in una determinata località.

patch

Aggiorna i parametri di un singolo ServerTlsPolicy.