REST Resource: projects.locations.serverTlsPolicies

{
  "name": string,
  "description": string,
  "createTime": string,
  "updateTime": string,
  "labels": {
    string: string,
    ...
  },
  "allowOpen": boolean,
  "serverCertificate": {
    object (CertificateProvider)
  },
  "mtlsPolicy": {
    object (MTLSPolicy)
  },
  "internalCaller": boolean,
  "minTlsVersion": enum (TlsVersion),
  "maxTlsVersion": enum (TlsVersion),
  "cipherSuites": [
    string
  ],
  "subjectAltNames": [
    string
  ]
}

string

Erforderlich. Name der ServerTlsPolicy-Ressource. Er entspricht dem Muster projects/*/locations/{location}/serverTlsPolicies/{serverTlsPolicy}

string

Freitextbeschreibung der Ressource.

string (Timestamp format)

Nur Ausgabe. Der Zeitstempel, der angibt, wann die Ressource erstellt wurde.

Ein Zeitstempel im Format RFC3339 UTC "Zulu" mit einer Auflösung im Nanosekundenbereich und bis zu neun Nachkommastellen. Beispiele: "2014-10-02T15:01:23Z" und "2014-10-02T15:01:23.045123456Z".

string (Timestamp format)

Nur Ausgabe. Der Zeitstempel für den Zeitpunkt, zu dem die Ressource aktualisiert wurde.

Ein Zeitstempel im Format RFC3339 UTC "Zulu" mit einer Auflösung im Nanosekundenbereich und bis zu neun Nachkommastellen. Beispiele: "2014-10-02T15:01:23Z" und "2014-10-02T15:01:23.045123456Z".

map (key: string, value: string)

Satz von Label-Tags, die der Ressource zugeordnet sind.

Ein Objekt, das eine Liste von "key": value-Paaren enthält. Beispiel: { "name": "wrench", "mass": "1.3kg", "count": "3" }.

boolean

Dieses Feld gilt nur für Traffic Director-Richtlinien. Er muss für Richtlinien von externen HTTPS-Load-Balancern auf „false“ gesetzt sein.

Bestimmt, ob der Server Klartextverbindungen zulässt. Wenn die Richtlinie auf „true“ gesetzt ist, erlaubt der Server Nur-Text-Verbindungen. Die Standardeinstellung ist „false“. Diese Einstellung schließt andere Verschlüsselungsmodi nicht aus. Wenn beispielsweise allowOpen und mtlsPolicy festgelegt sind, erlaubt der Server sowohl Nur-Text- als auch mTLS-Verbindungen. Informationen zur Kompatibilität finden Sie in der Dokumentation zu anderen Verschlüsselungsmodi.

Verwenden Sie diese Option, wenn Sie für Ihre Bereitstellung ein Upgrade auf TLS durchführen möchten, während gemischter TLS- und Nicht-TLS-Traffic Port 80 erreicht.

object (CertificateProvider)

Optional, wenn die Richtlinie mit Traffic Director verwendet werden soll. Für den externen HTTPS-Load-Balancer muss dieses Feld leer sein.

Definiert einen Mechanismus zum Bereitstellen der Serveridentität (öffentliche und private Schlüssel). Dieser Modus kann nicht mit „allowOpen“ kombiniert werden, da sowohl Nur-Text- als auch TLS-Verbindungen nicht unterstützt werden.

object (MTLSPolicy)

Dieses Feld ist erforderlich, wenn die Richtlinie mit externen HTTPS-Load-Balancern verwendet wird. Dieses Feld kann für Traffic Director leer sein.

Definiert einen Mechanismus zur Bereitstellung von Peer-Validierungszertifikaten für die Peer-to-Peer-Authentifizierung (Gegenseitige TLS – mTLS). Wenn nicht angegeben, wird kein Clientzertifikat angefordert. Die Verbindung wird als TLS und nicht als mTLS behandelt. Wenn allowOpen und mtlsPolicy festgelegt sind, erlaubt der Server sowohl Nur-Text- als auch mTLS-Verbindungen.

boolean

Optional. Ein Flag zur Identifizierung interner Controller. Wenn Sie es festlegen, wird eine P4SA-Prüfung ausgelöst, um zu bestätigen, dass der Aufrufer von der P4SA eines Dienstes auf der Zulassungsliste stammt, auch wenn andere optionale Felder nicht festgelegt sind.

enum (TlsVersion)

Optional. Die TLS-Mindestversion wird nur für Envoy verwendet. Wenn keine Angabe erfolgt, verwendet Envoy die Standardversion. Envoy aktuell: https://www.envoyproxy.io/docs/envoy/latest/api-v3/extensions/transport_sockets/tls/v3/common.proto

enum (TlsVersion)

Optional. Die TLS-Maximalversion wird nur für Envoy verwendet. Wenn keine Angabe erfolgt, verwendet Envoy die Standardversion. Envoy aktuell: https://www.envoyproxy.io/docs/envoy/latest/api-v3/extensions/transport_sockets/tls/v3/common.proto

string

Optional. Benutzerdefinierte TLS-Cipher Suites, die nur in CSM verwendet werden. Die folgenden Chiffren werden unterstützt: ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-GCM-SHA384 ECDHE-ECDSA-CHACHA20 ECDHE-RSA-AES-128-GCM-SHA256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-GCM-SHA384 ECDHE-ECDSA-CHACHA20-POCDHE-ECDSA-CHACHA20-POCDHE-ECDSA-CHACHA20-POCDHE-

string

Optional. Serverseitige Validierung für Client-SAN, wird nur im CSM verwendet. Wenn keine Angabe erfolgt, wird der Client-SAN nicht vom Server geprüft.

{
  "clientValidationMode": enum (ClientValidationMode),
  "clientValidationCa": [
    {
      object (ValidationCA)
    }
  ],
  "clientValidationTrustConfig": string,
  "tier": enum (Tier)
}

enum (ClientValidationMode)

Wenn der Client dem Load-Balancer ein ungültiges oder kein Zertifikat vorlegt, gibt clientValidationMode an, wie die Clientverbindung verarbeitet wird.

Erforderlich, wenn die Richtlinie mit dem externen HTTPS-Load-Balancing verwendet werden soll. Für Traffic Director muss er leer sein.

object (ValidationCA)

Erforderlich, wenn die Richtlinie mit Traffic Director verwendet werden soll. Bei externen HTTPS-Load-Balancern muss dieses Feld leer sein.

Definiert den Mechanismus zum Abrufen des Zertifikats der Zertifizierungsstelle, um das Clientzertifikat zu validieren.

string

Verweis auf TrustConfig aus dem Namespace „certificatemanager.googleapis.com“.

Wenn angegeben, wird die Kettenvalidierung anhand von Zertifikaten ausgeführt, die in der angegebenen TrustConfig konfiguriert sind.

Nur zulässig, wenn die Richtlinie mit externen HTTPS-Load-Balancern verwendet werden soll.

enum (Tier)

Gegenseitige TLS-Stufe.

Nur zulässig, wenn die Richtlinie mit externen HTTPS-Load-Balancern verwendet werden soll.