מדיניות SSL מציינת גרסת TLS מינימלית וקבוצה של יכולות TLS ש-Cloud Load Balancing משתמש בהן כשמתנהל משא ומתן על SSL עם לקוחות. במסמך הזה, המונח SSL מתייחס גם לפרוטוקול SSL וגם לפרוטוקול TLS.
מאזני העומסים הבאים תומכים במדיניות SSL:
- מדיניות SSL גלובלית
- מאזן עומסים גלובלי חיצוני של אפליקציות (ALB)
- מאזן עומסים קלאסי של אפליקציות (ALB)
- מאזן עומסי רשת חיצוני בשרת proxy (עם שרת proxy של SSL ביעד)
- מאזן עומסים פנימי של אפליקציות (ALB) שפועל בכמה אזורים
- מדיניות SSL אזורית
- מאזן עומסים חיצוני אזורי של אפליקציות (ALB)
- מאזן עומסים פנימי אזורי של אפליקציות (ALB)
מידע נוסף על אופן הפעולה של מדיניות SSL זמין במאמר בנושא מדיניות SSL לפרוטוקולים מסוג SSL ו-TLS.
אפשר ליצור ולנהל מדיניות SSL באמצעות מסוף Google Cloud או Google Cloud CLI כשיוצרים מאזן עומסים של HTTPS או SSL, או בכל שלב אחרי שיוצרים את מאזן העומסים.
יצירת מדיניות SSL
אפשר ליצור מדיניות SSL עם פרופילים מוגדרים מראש או עם פרופיל בהתאמה אישית.
יצירת מדיניות SSL עם פרופיל מוגדר מראש
המסוף
מדיניות SSL גלובלית
כדי ליצור מדיניות SSL גלובלית עם פרופיל מוגדר מראש:
נכנסים לדף SSL policies במסוף Google Cloud .
לוחצים על יצירת מדיניות.
בקטע Global SSL policy (מדיניות SSL גלובלית), לוחצים על הלחצן Create (יצירה) שלידו. יופיע הדף Create policy.
מזינים שם.
בקטע Minimum TLS Version (גרסת TLS מינימלית), בוחרים ערך.
בקטע פרופיל, בוחרים באפשרות תואם, מודרני, מוגבל או FIPS_202205.
- במדיניות SSL שמשתמשת בפרופיל
FIPS_202205חייבים להשתמש בגרסה מינימלית של TLS 1.2. - אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3,
המדיניות חייבת להשתמש בפרופיל
RESTRICTED.
מוצגות התכונות המופעלות והתכונות המושבתות בפרופיל.
- במדיניות SSL שמשתמשת בפרופיל
בקטע החלפת מפתחות לאחר קוונטים, בוחרים באפשרות ברירת מחדל, מופעל או נדחה. מידע נוסף על המצבים השונים זמין במאמר מצבים של החלפת מפתחות פוסט-קוונטית.
אם יש מאזן עומסים שרוצים לצרף אליו את המדיניות, לוחצים על החלה על יעדים ובוחרים כלל העברה כיעד של מדיניות ה-SSL. אם צריך, מוסיפים עוד יעדים.
לוחצים על יצירה.
מדיניות SSL אזורית
כדי ליצור מדיניות SSL אזורית עם פרופיל מוגדר מראש:
נכנסים לדף SSL policies במסוף Google Cloud .
לוחצים על יצירת מדיניות.
בקטע Regional SSL policy (מדיניות SSL אזורית), לוחצים על הלחצן Create (יצירה) שלידו. יופיע הדף Create policy.
מזינים שם.
בשדה Region, בוחרים אזור.
בקטע Minimum TLS Version (גרסת TLS מינימלית), בוחרים ערך.
בקטע פרופיל, בוחרים באפשרות תואם, מודרני, מוגבל או FIPS_202205.
- במדיניות SSL שמשתמשת בפרופיל
FIPS_202205חייבים להשתמש בגרסה מינימלית של TLS 1.2. - אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3,
המדיניות חייבת להשתמש בפרופיל
RESTRICTED.
מוצגות התכונות המופעלות והתכונות המושבתות בפרופיל.
- במדיניות SSL שמשתמשת בפרופיל
בקטע החלפת מפתחות לאחר קוונטים, בוחרים באפשרות ברירת מחדל, מופעל או נדחה. מידע נוסף על המצבים השונים זמין במאמר מצבים של החלפת מפתחות פוסט-קוונטית.
אם יש מאזן עומסים שרוצים לצרף אליו את המדיניות, לוחצים על החלה על יעדים ובוחרים כלל העברה כיעד של מדיניות ה-SSL. אם צריך, מוסיפים עוד יעדים.
לוחצים על יצירה.
gcloud
מדיניות SSL גלובלית
התחביר הכללי ליצירת מדיניות SSL גלובלית עם פרופיל מוגדר מראש:
- במדיניות SSL שמשתמשת בפרופיל
FIPS_202205חייבים להשתמש בגרסה מינימלית של TLS 1.2. - אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3,
המדיניות חייבת להשתמש בפרופיל
RESTRICTED.
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
--min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
--post-quantum-key-exchange MODE
מחליפים את מה שכתוב בשדות הבאים:
-
SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות. -
MODE: אפשר להגדיר את מצב החלפת המפתחות הפוסט-קוונטית ל-ENABLED, DEFAULTאוDEFERRED. מידע נוסף על המצבים השונים זמין במאמר בנושא מצבים של החלפת מפתחות פוסט-קוונטית.
מדיניות SSL אזורית
התחביר הכללי ליצירת מדיניות SSL אזורית עם פרופיל מוגדר מראש:
- במדיניות SSL שמשתמשת בפרופיל
FIPS_202205חייבים להשתמש בגרסה מינימלית של TLS 1.2. - אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3,
המדיניות חייבת להשתמש בפרופיל
RESTRICTED.
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
--min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
--region REGION \
--post-quantum-key-exchange MODE
מחליפים את מה שכתוב בשדות הבאים:
-
SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות. -
REGION: האזור של מדיניות ה-SSL. -
MODE: אפשר להגדיר את מצב החלפת המפתחות הפוסט-קוונטית ל-ENABLED, DEFAULTאוDEFERRED. מידע נוסף על המצבים השונים זמין במאמר בנושא מצבים של החלפת מפתחות פוסט-קוונטית.
יצירת מדיניות SSL עם פרופיל בהתאמה אישית
המסוף
מדיניות SSL גלובלית
כדי ליצור מדיניות SSL גלובלית עם פרופיל בהתאמה אישית:
נכנסים לדף SSL policies במסוף Google Cloud .
לוחצים על יצירת מדיניות.
בקטע Global SSL policy (מדיניות SSL גלובלית), לוחצים על הלחצן Create (יצירה) שלידו. יופיע הדף Create policy.
מזינים שם.
בקטע Minimum TLS Version (גרסת TLS מינימלית), בוחרים ערך.
בשדה פרופיל, בוחרים באפשרות בהתאמה אישית. כל התכונות מוצגות כתכונות מושבתות.
בקטע החלפת מפתחות לאחר קוונטים, בוחרים באפשרות ברירת מחדל, מופעל או נדחה. מידע נוסף על המצבים השונים זמין במאמר מצבים של החלפת מפתחות פוסט-קוונטית.
ברשימת התכונות, בוחרים כל סט אלגוריתמים להצפנה שרוצים להפעיל. חבילות ההצפנה שאתם מפעילים מופיעות בתכונות מופעלות. מידע נוסף על סטים שונים של אלגוריתמים להצפנה שאפשר לבחור כשמשתמשים בפרופיל
CUSTOMזמין במאמר סטים של אלגוריתמים להצפנה ב-TLS 1.2 ובגרסאות קודמות.אם יש מאזן עומסים שרוצים לצרף אליו את המדיניות, לוחצים על החלה על יעדים ובוחרים כלל העברה כיעד של מדיניות ה-SSL. אם צריך, מוסיפים עוד יעדים.
לוחצים על יצירה.
מדיניות SSL אזורית
כדי ליצור מדיניות SSL אזורית עם פרופיל מותאם אישית:
נכנסים לדף SSL policies במסוף Google Cloud .
לוחצים על יצירת מדיניות.
בקטע Regional SSL policy (מדיניות SSL אזורית), לוחצים על הלחצן Create (יצירה) שלידו. יופיע הדף Create policy.
מזינים שם.
בשדה Region, בוחרים אזור.
בקטע Minimum TLS Version (גרסת TLS מינימלית), בוחרים ערך.
בשדה פרופיל, בוחרים באפשרות בהתאמה אישית. כל התכונות מוצגות כתכונות מושבתות.
בקטע החלפת מפתחות לאחר קוונטים, בוחרים באפשרות ברירת מחדל, מופעל או נדחה. מידע נוסף על המצבים השונים זמין במאמר מצבים של החלפת מפתחות פוסט-קוונטית.
ברשימת התכונות, בוחרים כל סט אלגוריתמים להצפנה שרוצים להפעיל. חבילות ההצפנה שאתם מפעילים מופיעות בתכונות מופעלות. למידע נוסף על סוגי סט אלגוריתמים להצפנה (cipher suite) שאפשר לבחור כשמשתמשים בפרופיל
CUSTOM, אפשר לעיין במאמר סט אלגוריתמים להצפנה (cipher suite) ל-TLS 1.2 ולגרסאות קודמות.אם יש מאזן עומסים שרוצים לצרף אליו את המדיניות, לוחצים על החלה על יעדים ובוחרים כלל העברה כיעד של מדיניות ה-SSL. אם צריך, מוסיפים עוד יעדים.
לוחצים על יצירה.
gcloud
כשיוצרים מדיניות SSL עם פרופיל CUSTOM, רק התכונות שמציינים בפקודה create נתמכות. אין תמיכה בתכונות אחרות.
מדיניות SSL גלובלית
התחביר הכללי ליצירת מדיניות SSL גלובלית עם פרופיל בהתאמה אישית:
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile CUSTOM \
--min-tls-version {1.0 | 1.1 | 1.2} \
--custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
--post-quantum-key-exchange MODE
מחליפים את מה שכתוב בשדות הבאים:
-
SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות -
SSL_FEATURE_1 | 2 | 3: חבילות הצפנה שונות שאפשר לבחור בהן כשמשתמשים בפרופילCUSTOM. מידע נוסף זמין במאמר בנושא סטים של אלגוריתמים להצפנה ב-TLS 1.2 ובגרסאות קודמות. -
MODE: אפשר להגדיר את מצב החלפת המפתחות הפוסט-קוונטית ל-ENABLED, DEFAULTאוDEFERRED. מידע נוסף על המצבים השונים זמין במאמר בנושא מצבים של החלפת מפתחות פוסט-קוונטית.
מדיניות SSL אזורית
התחביר הכללי ליצירת מדיניות SSL אזורית עם פרופיל מותאם אישית:
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile CUSTOM \
--min-tls-version {1.0 | 1.1 | 1.2} \
--custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
--region REGION \
--post-quantum-key-exchange MODE
מחליפים את מה שכתוב בשדות הבאים:
-
SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות -
SSL_FEATURE_1 | 2 | 3: חבילות הצפנה שונות שאפשר לבחור בהן כשמשתמשים בפרופילCUSTOM. מידע נוסף זמין במאמר בנושא סטים של אלגוריתמים להצפנה ב-TLS 1.2 ובגרסאות קודמות. -
REGION: האזור שבו רוצים להחיל את מדיניות ה-SSL -
MODE: אפשר להגדיר את מצב החלפת המפתחות הפוסט-קוונטית ל-ENABLED, DEFAULTאוDEFERRED. מידע נוסף על המצבים השונים זמין במאמר בנושא מצבים של החלפת מפתחות פוסט-קוונטית.
הצגת רשימת כללי מדיניות SSL
המסוף
נכנסים לדף SSL policies במסוף Google Cloud .
תוכלו לראות רשימה של כל כללי מדיניות ה-SSL הזמינים. בשדה Scope מצוין אם מדיניות ה-SSL היא גלובלית או אזורית.
gcloud
מציגים את כללי מדיניות ה-SSL הגלובליים והאזוריים:
gcloud compute ssl-policies list
הצגת רשימה של כללי מדיניות SSL גלובליים בלבד:
gcloud compute ssl-policies list --global
כדי להציג רק מדיניות SSL אזורית:
gcloud compute ssl-policies list --regions REGION
מחליפים את REGION באזור שבו רוצים להחיל את מדיניות ה-SSL.
רשימת התכונות שזמינות במדיניות SSL
המסוף
נכנסים לדף SSL policies במסוף Google Cloud .
לוחצים על שם המדיניות שרוצים לראות את התכונות שלה. מוצגות רשימות של סטים של אלגוריתמים להצפנה שמופעלים ומושבתים.
gcloud
רשימת התכונות שזמינות במדיניות SSL גלובלית:
gcloud compute ssl-policies list-available-features
רשימת התכונות שזמינות במדיניות SSL אזורית:
gcloud compute ssl-policies list-available-features \
--region REGION
מחליפים את REGION באזור של מדיניות ה-SSL שרוצים להציג את התכונות שלה.
שינוי מדיניות SSL
המסוף
כדי לשנות מדיניות SSL גלובלית או אזורית:
נכנסים לדף SSL policies במסוף Google Cloud .
לוחצים על שם המדיניות שרוצים לשנות.
לוחצים על Edit.
מבצעים את השינויים הרצויים.
לוחצים על Save.
gcloud
כדי לשנות מדיניות SSL קיימת, מעבירים את כל הדגלים או חלק מהם שמתאימים לשדות שרוצים לעדכן. שדות שלא צוינו לא יעודכנו.
אם מעדכנים את התכונות, התכונות שהופעלו בעבר נמחקות ומוחלפות בתכונות החדשות שצוינו.
כללי מדיניות גלובליים של SSL
- במדיניות SSL שמשתמשת בפרופיל
FIPS_202205חייבים להשתמש בגרסה מינימלית של TLS 1.2. - אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3,
המדיניות חייבת להשתמש בפרופיל
RESTRICTED.
gcloud compute ssl-policies update SSL_POLICY_NAME \
--profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
--min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
--custom-features FEATURES \
--post-quantum-key-exchange MODE
מחליפים את מה שכתוב בשדות הבאים:
-
SSL_POLICY_NAME: השם שהוקצה למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות -
FEATURES: חבילות הצפנה שונות שאפשר לבחור בהן כשמשתמשים בפרופילCUSTOM. מידע נוסף זמין במאמר בנושא סטים של אלגוריתמים להצפנה ב-TLS 1.2 ובגרסאות קודמות. -
MODE: אפשר להגדיר את מצב החלפת המפתחות הפוסט-קוונטית ל-ENABLED, DEFAULTאוDEFERRED. מידע נוסף על המצבים השונים זמין במאמר בנושא מצבים של החלפת מפתחות פוסט-קוונטית.
מדיניות SSL אזורית
- במדיניות SSL שמשתמשת בפרופיל
FIPS_202205חייבים להשתמש בגרסה מינימלית של TLS 1.2. - אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3,
המדיניות חייבת להשתמש בפרופיל
RESTRICTED.
gcloud compute ssl-policies update SSL_POLICY_NAME \
--profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
--min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
--custom-features FEATURES \
--region REGION \
--post-quantum-key-exchange MODE
מחליפים את מה שכתוב בשדות הבאים:
-
SSL_POLICY_NAME: השם שהוקצה למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות -
FEATURES: חבילות הצפנה שונות שאפשר לבחור בהן כשמשתמשים בפרופילCUSTOM. מידע נוסף זמין במאמר בנושא סטים של אלגוריתמים להצפנה ב-TLS 1.2 ובגרסאות קודמות. -
REGION: האזור של מדיניות ה-SSL שרוצים לעדכן את התכונות שלה -
MODE: אפשר להגדיר את מצב החלפת המפתחות הפוסט-קוונטית ל-ENABLED, DEFAULTאוDEFERRED. מידע נוסף על המצבים השונים זמין במאמר בנושא מצבים של החלפת מפתחות פוסט-קוונטית.
יצירת שרת proxy ליעד עם מדיניות SSL
המסוף
אפשר ליצור שרת proxy ליעד באמצעות מסוף Google Cloud כשיוצרים או מעדכנים את מאזן העומסים, כמו שמוסבר במסמכים הבאים:
gcloud
כדי ליצור שרת proxy של SSL ביעד עם מדיניות SSL גלובלית:
gcloud compute target-ssl-proxies create TARGET_SSL_PROXY_NAME \
--backend-service BACKEND_SERVICE_NAME \
--ssl-certificate SSL_CERTIFICATE_NAME \
--ssl-policy SSL_POLICY_NAME
מחליפים את מה שכתוב בשדות הבאים:
-
TARGET_SSL_PROXY_NAME: השם של שרת ה-proxy של היעד -
BACKEND_SERVICE_NAME: השם של שירות הקצה העורפי -
SSL_CERTIFICATE_NAME: השם של אישור ה-TLS -
SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות
כדי ליצור שרת proxy גלובלי של HTTPS ביעד עם מדיניות SSL גלובלית:
gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
--ssl-certificate SSL_CERTIFICATE_NAME \
--url-map URL_MAP_NAME \
--ssl-policy SSL_POLICY_NAME
מחליפים את מה שכתוב בשדות הבאים:
-
TARGET_HTTPS_PROXY_NAME: השם של שרת ה-proxy של היעד -
SSL_CERTIFICATE_NAME: השם של אישור ה-TLS -
URL_MAP_NAME: השם של מפת URL -
SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות
כדי ליצור שרת proxy אזורי של HTTPS ביעד עם מדיניות אזורית של SSL:
gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
--ssl-certificates SSL_CERTIFICATE_NAME \
--url-map URL_MAP_NAME \
--url-map-region MAP_REGION \
--ssl-policy SSL_POLICY_NAME \
--region REGION
מחליפים את מה שכתוב בשדות הבאים:
-
REGIONAL_TARGET_HTTPS_PROXY_NAME: השם של שרת ה-proxy ליעד -
SSL_CERTIFICATE_NAME: השם של אישור ה-TLS -
URL_MAP_NAME: השם של מפת URL -
MAP_REGION: השם של האזור שבו ממוקמת מפת ה-URL Google Cloud -
SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות -
REGION: האזור של מדיניות ה-SSL שרוצים ליצור את ה-proxy ל-HTTPS עם היעד
צירוף מדיניות SSL קיימת לשרת proxy קיים ליעד
המסוף
אי אפשר לשנות שרתי proxy של יעד במסוף Google Cloud . במקום זאת, אפשר להשתמש ב-CLI של gcloud או ב-API.
gcloud
אפשר להשתמש בפקודות האלה כדי לצרף מדיניות SSL קיימת ל שרת proxy של SSL או ל שרת proxy של HTTPS.
כדי למצוא את כל הפרויקטים בארגון שיש להם שרתי proxy של SSL לטירגוט:
gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --asset-types=compute.googleapis.com/TargetSslProxyמחליפים את
ORGANIZATION_IDבמזהה של הארגון שבו רוצים למצוא שרתי proxy של SSL.
כדי למצוא את כל הפרויקטים בארגון שיש בהם שרתי proxy של HTTPS:
gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --asset-types=compute.googleapis.com/TargetHttpsProxyמחליפים את
ORGANIZATION_IDבמזהה הארגון שבו רוצים למצוא את שרתי ה-proxy של HTTPS.
כדי להציג רשימה של כל שרתי ה-proxy הגלובליים של SSL בפרויקט, משתמשים בשיטה
targetSslProxies.aggregatedList. לאחר מכן, משתמשים בפרמטר השאילתהfilterכדי לחפש שרתי proxy של SSL שאינם מפנים למדיניות SSL.curl \ 'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \ --header 'Accept: application/json' \ --compressedמחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: השם של מזהה הפרויקט -
YOUR_API_KEY: מפתח ה-API -
YOUR_ACCESS_TOKEN: טוקן הגישה שלכם
-
כדי לראות את רשימת כל שרתי ה-proxy של HTTPS ביעד (גלובליים ואזוריים) בפרויקט, משתמשים בשיטה
targetHttpsProxies.aggregatedListכשפרמטר השאילתהincludeAllScopesמוגדר ל-true. לאחר מכן, משתמשים בפרמטרfilterquery כדי לחפש שרתי proxy של HTTPS לטירגוט שלא מפנים למדיניות SSL.curl \ 'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \ --header 'Accept: application/json' \ --compressedמחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: השם של מזהה הפרויקט -
YOUR_API_KEY: מפתח ה-API -
YOUR_ACCESS_TOKEN: טוקן הגישה שלכם
-
כדי לצרף מדיניות SSL גלובלית קיימת לשרת proxy של SSL ביעד:
gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \ --ssl-policy SSL_POLICY_NAMEמחליפים את מה שכתוב בשדות הבאים:
-
TARGET_SSL_PROXY_NAME: השם של שרת ה-proxy של היעד -
SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמנהלים משא ומתן על חיבורים עם לקוחות
-
כדי לצרף מדיניות SSL גלובלית קיימת לשרת proxy גלובלי של HTTPS ביעד:
gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \ --ssl-policy SSL_POLICY_NAMEמחליפים את מה שכתוב בשדות הבאים:
-
TARGET_HTTPS_PROXY_NAME: השם של שרת ה-proxy של היעד -
SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמנהלים משא ומתן על חיבורים עם לקוחות
-
כדי לצרף מדיניות SSL אזורית קיימת לשרת proxy אזורי של HTTPS ביעד:
gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \ --ssl-policy SSL_POLICY_NAME \ --region REGIONמחליפים את מה שכתוב בשדות הבאים:
-
REGIONAL_TARGET_HTTPS_PROXY_NAME: השם של שרת ה-proxy של היעד -
SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמנהלים משא ומתן על חיבורים עם לקוחות -
REGION: האזור של מדיניות ה-SSL שרוצים לצרף לשרת ה-proxy ל-HTTPS עם יעד אזורי
-
אם לא מציינים את האפשרות --ssl-policy או את האפשרות --clear-ssl-policy בעדכון של שרת proxy ליעד (לדוגמה, כשמעדכנים אישור SSL), מדיניות ה-SSL לא משתנה. הדגל --clear-ssl-policy מתואר במאמר מחיקת מדיניות SSL משרת proxy ליעד.
API
כדי להגדיר מדיניות SSL גלובלית לשרת proxy גלובלי ליעד, משתמשים ב-method targetHttpsProxies.patch.
כדי להגדיר מדיניות SSL אזורית לשרת proxy אזורי ליעד, משתמשים ב-method regionTargetHttpsProxies.patch.
מחיקה של מדיניות SSL משרת proxy ליעד
המסוף
אי אפשר לשנות שרתי proxy של יעד במסוף Google Cloud . במקום זאת, אפשר להשתמש ב-CLI של gcloud או ב-API.
gcloud
אפשר להשתמש בפקודות האלה כדי להסיר מדיניות SSL מ שרת proxy של SSL או שרת proxy של HTTPS. אם לא מצרפים מדיניות SSL אחרת לשרת ה-proxy של היעד, מאזן העומסים משתמש במדיניות ה-SSL שמוגדרת כברירת מחדל. השימוש בדגל --clear-ssl-policy שווה להחלפת מדיניות SSL במדיניות SSL שמוגדרת כברירת מחדל.
כדי להסיר מדיניות SSL גלובלית משרת proxy של SSL ביעד:
gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
--clear-ssl-policy
מחליפים את TARGET_SSL_PROXY_NAME בשם של שרת היעד הפרוקסי.
כדי להסיר מדיניות SSL גלובלית משרת proxy גלובלי של HTTPS ליעד:
gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
--clear-ssl-policy
מחליפים את TARGET_HTTPS_PROXY_NAME בשם של שרת היעד הפרוקסי.
כדי להסיר מדיניות SSL אזורית משרת proxy אזורי של HTTPS ביעד:
gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
--clear-ssl-policy \
--region REGION
מחליפים את מה שכתוב בשדות הבאים:
-
REGIONAL_TARGET_HTTPS_PROXY_NAME: השם של שרת ה-proxy של היעד -
REGION: האזור של מדיניות ה-SSL שרוצים לצרף לשרת ה-proxy ל-HTTPS עם יעד אזורי
כשמספקים את הדגל --clear-ssl-policy בפקודת העדכון, מדיניות ה-SSL מוסרת מהפרוקסי.
אם לא מספקים את האפשרות --clear-ssl-policy או את האפשרות --ssl-policy בעדכון של שרת proxy ליעד (לדוגמה, כשמעדכנים אישור SSL), מדיניות ה-SSL לא משתנה. הדגל --ssl-policy מתואר במאמר צירוף מדיניות SSL קיימת לשרת proxy יעד קיים.
ניהול מדיניות SSL
אם משתמשים באילוצים מותאמים אישית כדי להגביל את היכולות של TLS, צריך לבדוק באופן ידני את התאימות ל-TLS במדיניות SSL קיימת שמצורפת לשרתי proxy של SSL ולשרתי proxy של HTTPS.
כדי למצוא ולעדכן מדיניות SSL שלא עומדת ביעדי האבטחה שלכם, אפשר להיעזר בשלבים הבאים.
כדי למצוא את כל הפרויקטים בארגון שיש בהם משאבי מדיניות SSL:
gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --asset-types=compute.googleapis.com/SslPolicyמחליפים את
ORGANIZATION_IDבמזהה הארגון שבו רוצים למצוא את כל הפרויקטים שיש בהם משאבי מדיניות SSL.כדי להציג רשימה של כל כללי ה-SSL הגלובליים והאזוריים בפרויקט, משתמשים בשיטה
sslPolicies.aggregatedListעם פרמטר השאילתהincludeAllScopesשמוגדר ל-true. לאחר מכן, משתמשים בפרמטרfilterשל השאילתה כדי לחפש מדיניות SSL שלא תואמת ליעדי האבטחה שלכם.לדוגמה, כדי למצוא מדיניות SSL עם גרסת TLS נמוכה מ-
1.2, משתמשים במסנןminTlsVersion="TLS_1_0"אוminTlsVersion="TLS_1_1":curl \ 'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \ --header 'Accept: application/json' \ --compressed
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: השם של מזהה הפרויקט -
YOUR_API_KEY: מפתח ה-API -
YOUR_ACCESS_TOKEN: טוקן הגישה שלכם
במאמר ניהול מפתחות API מוסבר איך לקבל מפתח API. כדי לקבל את טוקן הגישה, משתמשים ב-method
projects.serviceAccounts.generateAccessToken.לאחר מכן מעדכנים את מדיניות ה-SSL שלא עומדת בדרישת ה-TLS המינימלית.
כדי לעדכן מדיניות SSL גלובלית, אפשר להשתמש בפקודה הבאה:
gcloud compute ssl-policies update SSL_POLICY_NAME \ --min-tls-version=TLS_1_2 \ --globalמחליפים את
SSL_POLICY_NAMEבשם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות.כדי לעדכן מדיניות SSL אזורית, אפשר להשתמש בפקודה הבאה:
gcloud compute ssl-policies update SSL_POLICY_NAME \ --min-tls-version=TLS_1_2 \ --region REGIONמחליפים את מה שכתוב בשדות הבאים:
-
SSL_POLICY_NAME: השם של מדיניות ה-SSL -
REGION: האזור של מדיניות ה-SSL
-
כדי להציג ברשימה את כל שרתי ה-proxy של SSL ביעד בפרויקט שלא משויכים למדיניות SSL, מריצים את הפקודה הבאה:
curl \ 'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \ --header 'Accept: application/json' \ --compressedמחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: השם של מזהה הפרויקט -
YOUR_API_KEY: מפתח ה-API -
YOUR_ACCESS_TOKEN: טוקן הגישה שלכם
כדי לצרף מדיניות SSL לשרתי ה-proxy האלה, אפשר לעיין במאמר צירוף מדיניות SSL קיימת לשרת proxy קיים ליעד.
-
אפשר גם להשתמש ב-מאגר משאבי ענן או ב-Google APIs Explorer כדי למצוא ולעדכן משאבים שלא עומדים בדרישות האבטחה.
לדוגמה, כדי לחפש רשימה של שרתי proxy של SSL ליעד שלא משויכים למדיניות SSL, אפשר לבצע את השלבים הבאים במאגר משאבי ענן:
נכנסים לדף Asset inventory במסוף Google Cloud .
לוחצים על שאילתת נכסים.
בשדה Edit query, מזינים את השאילתה הבאה ולוחצים על Run.
select * from `compute_googleapis_com_TargetSslProxy` where resource.data.sslPolicy IS NULL
כדי לצרף מדיניות SSL לשרתי ה-proxy האלה, אפשר לעיין במאמר צירוף מדיניות SSL קיימת לשרת proxy קיים ליעד.
מריצים את השאילתה במאגר משאבי הענן עד שמופיעה תשובה ריקה.
מגבלות
הפניית API
לתיאורים של המאפיינים והשיטות שזמינים לכם כשאתם עובדים עם מדיניות SSL דרך API בארכיטקטורת REST, אפשר לעיין במאמרים הבאים:
| מוצר | מאמרי העזרה של ה-API |
|---|---|
|
sslPolicies |
|
regionSslPolicies |
מאמרי עזרה על ה-CLI של gcloud
לעיון במאמרי העזרה של Google Cloud CLI:
-
- גלובלי:
--global
- אזורי:
--region=REGION
- גלובלי:
המאמרים הבאים
- מידע תיאורטי על מדיניות SSL זמין במאמר בנושא מדיניות SSL לפרוטוקולים מסוג SSL ו-TLS.
- מידע על מאזני עומסי רשת חיצוניים של שרת proxy זמין במאמר סקירה כללית על מאזן עומסי רשת חיצוני של שרת proxy.
- מידע על מאזני עומסים חיצוניים של אפליקציות זמין במאמר סקירה כללית על מאזן עומסים חיצוני של אפליקציות.