שימוש במדיניות SSL

מדיניות SSL מציינת גרסת TLS מינימלית וקבוצה של יכולות TLS ש-Cloud Load Balancing משתמש בהן כשמתנהל משא ומתן על SSL עם לקוחות. במסמך הזה, המונח SSL מתייחס גם לפרוטוקול SSL וגם לפרוטוקול TLS.

מאזני העומסים הבאים תומכים במדיניות SSL:

  • מדיניות SSL גלובלית
    • מאזן עומסים גלובלי חיצוני של אפליקציות (ALB)
    • מאזן עומסים קלאסי של אפליקציות (ALB)
    • מאזן עומסי רשת חיצוני בשרת proxy (עם שרת proxy של SSL ביעד)
    • מאזן עומסים פנימי של אפליקציות (ALB) שפועל בכמה אזורים
  • מדיניות SSL אזורית
    • מאזן עומסים חיצוני אזורי של אפליקציות (ALB)
    • מאזן עומסים פנימי אזורי של אפליקציות (ALB)

מידע נוסף על אופן הפעולה של מדיניות SSL זמין במאמר בנושא מדיניות SSL לפרוטוקולים מסוג SSL ו-TLS.

אפשר ליצור ולנהל מדיניות SSL באמצעות מסוף Google Cloud או Google Cloud CLI כשיוצרים מאזן עומסים של HTTPS או SSL, או בכל שלב אחרי שיוצרים את מאזן העומסים.

יצירת מדיניות SSL

אפשר ליצור מדיניות SSL עם פרופילים מוגדרים מראש או עם פרופיל בהתאמה אישית.

יצירת מדיניות SSL עם פרופיל מוגדר מראש

המסוף

מדיניות SSL גלובלית

כדי ליצור מדיניות SSL גלובלית עם פרופיל מוגדר מראש:

  1. נכנסים לדף SSL policies במסוף Google Cloud .

    מעבר למדיניות SSL

  2. לוחצים על יצירת מדיניות.

  3. בקטע Global SSL policy (מדיניות SSL גלובלית), לוחצים על הלחצן Create (יצירה) שלידו. יופיע הדף Create policy.

  4. מזינים שם.

  5. בקטע Minimum TLS Version (גרסת TLS מינימלית), בוחרים ערך.

  6. בקטע פרופיל, בוחרים באפשרות תואם, מודרני, מוגבל או FIPS_202205.

    • במדיניות SSL שמשתמשת בפרופיל FIPS_202205 חייבים להשתמש בגרסה מינימלית של TLS‏ 1.2.
    • אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3, המדיניות חייבת להשתמש בפרופיל RESTRICTED.

    מוצגות התכונות המופעלות והתכונות המושבתות בפרופיל.

  7. בקטע החלפת מפתחות לאחר קוונטים, בוחרים באפשרות ברירת מחדל, מופעל או נדחה. מידע נוסף על המצבים השונים זמין במאמר מצבים של החלפת מפתחות פוסט-קוונטית.

  8. אם יש מאזן עומסים שרוצים לצרף אליו את המדיניות, לוחצים על החלה על יעדים ובוחרים כלל העברה כיעד של מדיניות ה-SSL. אם צריך, מוסיפים עוד יעדים.

  9. לוחצים על יצירה.

מדיניות SSL אזורית

כדי ליצור מדיניות SSL אזורית עם פרופיל מוגדר מראש:

  1. נכנסים לדף SSL policies במסוף Google Cloud .

    מעבר למדיניות SSL

  2. לוחצים על יצירת מדיניות.

  3. בקטע Regional SSL policy (מדיניות SSL אזורית), לוחצים על הלחצן Create (יצירה) שלידו. יופיע הדף Create policy.

  4. מזינים שם.

  5. בשדה Region, בוחרים אזור.

  6. בקטע Minimum TLS Version (גרסת TLS מינימלית), בוחרים ערך.

  7. בקטע פרופיל, בוחרים באפשרות תואם, מודרני, מוגבל או FIPS_202205.

    • במדיניות SSL שמשתמשת בפרופיל FIPS_202205 חייבים להשתמש בגרסה מינימלית של TLS‏ 1.2.
    • אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3, המדיניות חייבת להשתמש בפרופיל RESTRICTED.

    מוצגות התכונות המופעלות והתכונות המושבתות בפרופיל.

  8. בקטע החלפת מפתחות לאחר קוונטים, בוחרים באפשרות ברירת מחדל, מופעל או נדחה. מידע נוסף על המצבים השונים זמין במאמר מצבים של החלפת מפתחות פוסט-קוונטית.

  9. אם יש מאזן עומסים שרוצים לצרף אליו את המדיניות, לוחצים על החלה על יעדים ובוחרים כלל העברה כיעד של מדיניות ה-SSL. אם צריך, מוסיפים עוד יעדים.

  10. לוחצים על יצירה.

gcloud

מדיניות SSL גלובלית

התחביר הכללי ליצירת מדיניות SSL גלובלית עם פרופיל מוגדר מראש:

  • במדיניות SSL שמשתמשת בפרופיל FIPS_202205 חייבים להשתמש בגרסה מינימלית של TLS‏ 1.2.
  • אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3, המדיניות חייבת להשתמש בפרופיל RESTRICTED.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --post-quantum-key-exchange MODE

מחליפים את מה שכתוב בשדות הבאים:

  • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות.
  • MODE: אפשר להגדיר את מצב החלפת המפתחות הפוסט-קוונטית ל-ENABLED, ‏DEFAULT או DEFERRED. מידע נוסף על המצבים השונים זמין במאמר בנושא מצבים של החלפת מפתחות פוסט-קוונטית.

מדיניות SSL אזורית

התחביר הכללי ליצירת מדיניות SSL אזורית עם פרופיל מוגדר מראש:

  • במדיניות SSL שמשתמשת בפרופיל FIPS_202205 חייבים להשתמש בגרסה מינימלית של TLS‏ 1.2.
  • אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3, המדיניות חייבת להשתמש בפרופיל RESTRICTED.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --region REGION \
    --post-quantum-key-exchange MODE

מחליפים את מה שכתוב בשדות הבאים:

  • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות.
  • REGION: האזור של מדיניות ה-SSL.
  • MODE: אפשר להגדיר את מצב החלפת המפתחות הפוסט-קוונטית ל-ENABLED, ‏DEFAULT או DEFERRED. מידע נוסף על המצבים השונים זמין במאמר בנושא מצבים של החלפת מפתחות פוסט-קוונטית.

יצירת מדיניות SSL עם פרופיל בהתאמה אישית

המסוף

מדיניות SSL גלובלית

כדי ליצור מדיניות SSL גלובלית עם פרופיל בהתאמה אישית:

  1. נכנסים לדף SSL policies במסוף Google Cloud .

    מעבר למדיניות SSL

  2. לוחצים על יצירת מדיניות.

  3. בקטע Global SSL policy (מדיניות SSL גלובלית), לוחצים על הלחצן Create (יצירה) שלידו. יופיע הדף Create policy.

  4. מזינים שם.

  5. בקטע Minimum TLS Version (גרסת TLS מינימלית), בוחרים ערך.

  6. בשדה פרופיל, בוחרים באפשרות בהתאמה אישית. כל התכונות מוצגות כתכונות מושבתות.

  7. בקטע החלפת מפתחות לאחר קוונטים, בוחרים באפשרות ברירת מחדל, מופעל או נדחה. מידע נוסף על המצבים השונים זמין במאמר מצבים של החלפת מפתחות פוסט-קוונטית.

  8. ברשימת התכונות, בוחרים כל סט אלגוריתמים להצפנה שרוצים להפעיל. חבילות ההצפנה שאתם מפעילים מופיעות בתכונות מופעלות. מידע נוסף על סטים שונים של אלגוריתמים להצפנה שאפשר לבחור כשמשתמשים בפרופיל CUSTOM זמין במאמר סטים של אלגוריתמים להצפנה ב-TLS 1.2 ובגרסאות קודמות.

  9. אם יש מאזן עומסים שרוצים לצרף אליו את המדיניות, לוחצים על החלה על יעדים ובוחרים כלל העברה כיעד של מדיניות ה-SSL. אם צריך, מוסיפים עוד יעדים.

  10. לוחצים על יצירה.

מדיניות SSL אזורית

כדי ליצור מדיניות SSL אזורית עם פרופיל מותאם אישית:

  1. נכנסים לדף SSL policies במסוף Google Cloud .

    מעבר למדיניות SSL

  2. לוחצים על יצירת מדיניות.

  3. בקטע Regional SSL policy (מדיניות SSL אזורית), לוחצים על הלחצן Create (יצירה) שלידו. יופיע הדף Create policy.

  4. מזינים שם.

  5. בשדה Region, בוחרים אזור.

  6. בקטע Minimum TLS Version (גרסת TLS מינימלית), בוחרים ערך.

  7. בשדה פרופיל, בוחרים באפשרות בהתאמה אישית. כל התכונות מוצגות כתכונות מושבתות.

  8. בקטע החלפת מפתחות לאחר קוונטים, בוחרים באפשרות ברירת מחדל, מופעל או נדחה. מידע נוסף על המצבים השונים זמין במאמר מצבים של החלפת מפתחות פוסט-קוונטית.

  9. ברשימת התכונות, בוחרים כל סט אלגוריתמים להצפנה שרוצים להפעיל. חבילות ההצפנה שאתם מפעילים מופיעות בתכונות מופעלות. למידע נוסף על סוגי סט אלגוריתמים להצפנה (cipher suite) שאפשר לבחור כשמשתמשים בפרופיל CUSTOM, אפשר לעיין במאמר סט אלגוריתמים להצפנה (cipher suite) ל-TLS 1.2 ולגרסאות קודמות.

  10. אם יש מאזן עומסים שרוצים לצרף אליו את המדיניות, לוחצים על החלה על יעדים ובוחרים כלל העברה כיעד של מדיניות ה-SSL. אם צריך, מוסיפים עוד יעדים.

  11. לוחצים על יצירה.

gcloud

כשיוצרים מדיניות SSL עם פרופיל CUSTOM, רק התכונות שמציינים בפקודה create נתמכות. אין תמיכה בתכונות אחרות.

מדיניות SSL גלובלית

התחביר הכללי ליצירת מדיניות SSL גלובלית עם פרופיל בהתאמה אישית:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version {1.0 | 1.1 | 1.2} \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --post-quantum-key-exchange MODE

מחליפים את מה שכתוב בשדות הבאים:

  • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות
  • SSL_FEATURE_1 | 2 | 3: חבילות הצפנה שונות שאפשר לבחור בהן כשמשתמשים בפרופיל CUSTOM. מידע נוסף זמין במאמר בנושא סטים של אלגוריתמים להצפנה ב-TLS 1.2 ובגרסאות קודמות.
  • MODE: אפשר להגדיר את מצב החלפת המפתחות הפוסט-קוונטית ל-ENABLED, ‏DEFAULT או DEFERRED. מידע נוסף על המצבים השונים זמין במאמר בנושא מצבים של החלפת מפתחות פוסט-קוונטית.

מדיניות SSL אזורית

התחביר הכללי ליצירת מדיניות SSL אזורית עם פרופיל מותאם אישית:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version {1.0 | 1.1 | 1.2} \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --region REGION \
    --post-quantum-key-exchange MODE

מחליפים את מה שכתוב בשדות הבאים:

  • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות
  • SSL_FEATURE_1 | 2 | 3: חבילות הצפנה שונות שאפשר לבחור בהן כשמשתמשים בפרופיל CUSTOM. מידע נוסף זמין במאמר בנושא סטים של אלגוריתמים להצפנה ב-TLS 1.2 ובגרסאות קודמות.
  • REGION: האזור שבו רוצים להחיל את מדיניות ה-SSL
  • MODE: אפשר להגדיר את מצב החלפת המפתחות הפוסט-קוונטית ל-ENABLED, ‏DEFAULT או DEFERRED. מידע נוסף על המצבים השונים זמין במאמר בנושא מצבים של החלפת מפתחות פוסט-קוונטית.

הצגת רשימת כללי מדיניות SSL

המסוף

נכנסים לדף SSL policies במסוף Google Cloud .

מעבר למדיניות SSL

תוכלו לראות רשימה של כל כללי מדיניות ה-SSL הזמינים. בשדה Scope מצוין אם מדיניות ה-SSL היא גלובלית או אזורית.

gcloud

מציגים את כללי מדיניות ה-SSL הגלובליים והאזוריים:

gcloud compute ssl-policies list

הצגת רשימה של כללי מדיניות SSL גלובליים בלבד:

gcloud compute ssl-policies list --global

כדי להציג רק מדיניות SSL אזורית:

gcloud compute ssl-policies list --regions REGION

מחליפים את REGION באזור שבו רוצים להחיל את מדיניות ה-SSL.

רשימת התכונות שזמינות במדיניות SSL

המסוף

  1. נכנסים לדף SSL policies במסוף Google Cloud .

    מעבר למדיניות SSL

  2. לוחצים על שם המדיניות שרוצים לראות את התכונות שלה. מוצגות רשימות של סטים של אלגוריתמים להצפנה שמופעלים ומושבתים.

gcloud

רשימת התכונות שזמינות במדיניות SSL גלובלית:

gcloud compute ssl-policies list-available-features

רשימת התכונות שזמינות במדיניות SSL אזורית:

gcloud compute ssl-policies list-available-features \
    --region REGION

מחליפים את REGION באזור של מדיניות ה-SSL שרוצים להציג את התכונות שלה.

שינוי מדיניות SSL

המסוף

כדי לשנות מדיניות SSL גלובלית או אזורית:

  1. נכנסים לדף SSL policies במסוף Google Cloud .

    מעבר למדיניות SSL

  2. לוחצים על שם המדיניות שרוצים לשנות.

  3. לוחצים על Edit.

  4. מבצעים את השינויים הרצויים.

  5. לוחצים על Save.

gcloud

כדי לשנות מדיניות SSL קיימת, מעבירים את כל הדגלים או חלק מהם שמתאימים לשדות שרוצים לעדכן. שדות שלא צוינו לא יעודכנו.

אם מעדכנים את התכונות, התכונות שהופעלו בעבר נמחקות ומוחלפות בתכונות החדשות שצוינו.

כללי מדיניות גלובליים של SSL

  • במדיניות SSL שמשתמשת בפרופיל FIPS_202205 חייבים להשתמש בגרסה מינימלית של TLS‏ 1.2.
  • אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3, המדיניות חייבת להשתמש בפרופיל RESTRICTED.

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --custom-features FEATURES \
    --post-quantum-key-exchange MODE

מחליפים את מה שכתוב בשדות הבאים:

מדיניות SSL אזורית

  • במדיניות SSL שמשתמשת בפרופיל FIPS_202205 חייבים להשתמש בגרסה מינימלית של TLS‏ 1.2.
  • אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3, המדיניות חייבת להשתמש בפרופיל RESTRICTED.

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --custom-features FEATURES \
    --region REGION \
    --post-quantum-key-exchange MODE

מחליפים את מה שכתוב בשדות הבאים:

  • SSL_POLICY_NAME: השם שהוקצה למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות
  • FEATURES: חבילות הצפנה שונות שאפשר לבחור בהן כשמשתמשים בפרופיל CUSTOM. מידע נוסף זמין במאמר בנושא סטים של אלגוריתמים להצפנה ב-TLS 1.2 ובגרסאות קודמות.
  • REGION: האזור של מדיניות ה-SSL שרוצים לעדכן את התכונות שלה
  • MODE: אפשר להגדיר את מצב החלפת המפתחות הפוסט-קוונטית ל-ENABLED, ‏DEFAULT או DEFERRED. מידע נוסף על המצבים השונים זמין במאמר בנושא מצבים של החלפת מפתחות פוסט-קוונטית.

יצירת שרת proxy ליעד עם מדיניות SSL

המסוף

אפשר ליצור שרת proxy ליעד באמצעות מסוף Google Cloud כשיוצרים או מעדכנים את מאזן העומסים, כמו שמוסבר במסמכים הבאים:

gcloud

כדי ליצור שרת proxy של SSL ביעד עם מדיניות SSL גלובלית:

gcloud compute target-ssl-proxies create TARGET_SSL_PROXY_NAME \
    --backend-service BACKEND_SERVICE_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --ssl-policy SSL_POLICY_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • TARGET_SSL_PROXY_NAME: השם של שרת ה-proxy של היעד
  • BACKEND_SERVICE_NAME: השם של שירות הקצה העורפי
  • SSL_CERTIFICATE_NAME: השם של אישור ה-TLS
  • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות

כדי ליצור שרת proxy גלובלי של HTTPS ביעד עם מדיניות SSL גלובלית:

gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    --ssl-policy SSL_POLICY_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • TARGET_HTTPS_PROXY_NAME: השם של שרת ה-proxy של היעד
  • SSL_CERTIFICATE_NAME: השם של אישור ה-TLS
  • URL_MAP_NAME: השם של מפת URL
  • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות

כדי ליצור שרת proxy אזורי של HTTPS ביעד עם מדיניות אזורית של SSL:

gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    --url-map-region MAP_REGION \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

מחליפים את מה שכתוב בשדות הבאים:

  • REGIONAL_TARGET_HTTPS_PROXY_NAME: השם של שרת ה-proxy ליעד
  • SSL_CERTIFICATE_NAME: השם של אישור ה-TLS
  • URL_MAP_NAME: השם של מפת URL
  • MAP_REGION: השם של האזור שבו ממוקמת מפת ה-URL Google Cloud
  • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות
  • REGION: האזור של מדיניות ה-SSL שרוצים ליצור את ה-proxy ל-HTTPS עם היעד

צירוף מדיניות SSL קיימת לשרת proxy קיים ליעד

המסוף

אי אפשר לשנות שרתי proxy של יעד במסוף Google Cloud . במקום זאת, אפשר להשתמש ב-CLI של gcloud או ב-API.

gcloud

אפשר להשתמש בפקודות האלה כדי לצרף מדיניות SSL קיימת ל שרת proxy של SSL או ל שרת proxy של HTTPS.

  • כדי למצוא את כל הפרויקטים בארגון שיש להם שרתי proxy של SSL לטירגוט:

    gcloud asset search-all-resources \
        --scope=organizations/ORGANIZATION_ID \
        --asset-types=compute.googleapis.com/TargetSslProxy
    

    מחליפים את ORGANIZATION_ID במזהה של הארגון שבו רוצים למצוא שרתי proxy של SSL.

  • כדי למצוא את כל הפרויקטים בארגון שיש בהם שרתי proxy של HTTPS:

    gcloud asset search-all-resources \
        --scope=organizations/ORGANIZATION_ID \
        --asset-types=compute.googleapis.com/TargetHttpsProxy
    

    מחליפים את ORGANIZATION_ID במזהה הארגון שבו רוצים למצוא את שרתי ה-proxy של HTTPS.

  • כדי להציג רשימה של כל שרתי ה-proxy הגלובליים של SSL בפרויקט, משתמשים בשיטה targetSslProxies.aggregatedList. לאחר מכן, משתמשים בפרמטר השאילתה filter כדי לחפש שרתי proxy של SSL שאינם מפנים למדיניות SSL.

    curl \
        'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \
        --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
        --header 'Accept: application/json' \
        --compressed
    

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: השם של מזהה הפרויקט
    • YOUR_API_KEY: מפתח ה-API
    • YOUR_ACCESS_TOKEN: טוקן הגישה שלכם
  • כדי לראות את רשימת כל שרתי ה-proxy של HTTPS ביעד (גלובליים ואזוריים) בפרויקט, משתמשים בשיטה targetHttpsProxies.aggregatedList כשפרמטר השאילתה includeAllScopes מוגדר ל-true. לאחר מכן, משתמשים בפרמטר filterquery כדי לחפש שרתי proxy של HTTPS לטירגוט שלא מפנים למדיניות SSL.

    curl \
        'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \
        --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
        --header 'Accept: application/json' \
        --compressed
    

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: השם של מזהה הפרויקט
    • YOUR_API_KEY: מפתח ה-API
    • YOUR_ACCESS_TOKEN: טוקן הגישה שלכם
  • כדי לצרף מדיניות SSL גלובלית קיימת לשרת proxy של SSL ביעד:

    gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
        --ssl-policy SSL_POLICY_NAME
    

    מחליפים את מה שכתוב בשדות הבאים:

    • TARGET_SSL_PROXY_NAME: השם של שרת ה-proxy של היעד
    • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמנהלים משא ומתן על חיבורים עם לקוחות
  • כדי לצרף מדיניות SSL גלובלית קיימת לשרת proxy גלובלי של HTTPS ביעד:

    gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
        --ssl-policy SSL_POLICY_NAME
    

    מחליפים את מה שכתוב בשדות הבאים:

    • TARGET_HTTPS_PROXY_NAME: השם של שרת ה-proxy של היעד
    • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמנהלים משא ומתן על חיבורים עם לקוחות
  • כדי לצרף מדיניות SSL אזורית קיימת לשרת proxy אזורי של HTTPS ביעד:

    gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
        --ssl-policy SSL_POLICY_NAME \
        --region REGION
    

    מחליפים את מה שכתוב בשדות הבאים:

    • REGIONAL_TARGET_HTTPS_PROXY_NAME: השם של שרת ה-proxy של היעד
    • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמנהלים משא ומתן על חיבורים עם לקוחות
    • REGION: האזור של מדיניות ה-SSL שרוצים לצרף לשרת ה-proxy ל-HTTPS עם יעד אזורי

אם לא מציינים את האפשרות --ssl-policy או את האפשרות --clear-ssl-policy בעדכון של שרת proxy ליעד (לדוגמה, כשמעדכנים אישור SSL), מדיניות ה-SSL לא משתנה. הדגל --clear-ssl-policy מתואר במאמר מחיקת מדיניות SSL משרת proxy ליעד.

API

כדי להגדיר מדיניות SSL גלובלית לשרת proxy גלובלי ליעד, משתמשים ב-method ‏targetHttpsProxies.patch.

כדי להגדיר מדיניות SSL אזורית לשרת proxy אזורי ליעד, משתמשים ב-method ‏regionTargetHttpsProxies.patch.

מחיקה של מדיניות SSL משרת proxy ליעד

המסוף

אי אפשר לשנות שרתי proxy של יעד במסוף Google Cloud . במקום זאת, אפשר להשתמש ב-CLI של gcloud או ב-API.

gcloud

אפשר להשתמש בפקודות האלה כדי להסיר מדיניות SSL מ שרת proxy של SSL או שרת proxy של HTTPS. אם לא מצרפים מדיניות SSL אחרת לשרת ה-proxy של היעד, מאזן העומסים משתמש במדיניות ה-SSL שמוגדרת כברירת מחדל. השימוש בדגל --clear-ssl-policy שווה להחלפת מדיניות SSL במדיניות SSL שמוגדרת כברירת מחדל.

כדי להסיר מדיניות SSL גלובלית משרת proxy של SSL ביעד:

gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --clear-ssl-policy

מחליפים את TARGET_SSL_PROXY_NAME בשם של שרת היעד הפרוקסי.

כדי להסיר מדיניות SSL גלובלית משרת proxy גלובלי של HTTPS ליעד:

gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy

מחליפים את TARGET_HTTPS_PROXY_NAME בשם של שרת היעד הפרוקסי.

כדי להסיר מדיניות SSL אזורית משרת proxy אזורי של HTTPS ביעד:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy \
    --region REGION

מחליפים את מה שכתוב בשדות הבאים:

  • REGIONAL_TARGET_HTTPS_PROXY_NAME: השם של שרת ה-proxy של היעד
  • REGION: האזור של מדיניות ה-SSL שרוצים לצרף לשרת ה-proxy ל-HTTPS עם יעד אזורי

כשמספקים את הדגל --clear-ssl-policy בפקודת העדכון, מדיניות ה-SSL מוסרת מהפרוקסי.

אם לא מספקים את האפשרות --clear-ssl-policy או את האפשרות --ssl-policy בעדכון של שרת proxy ליעד (לדוגמה, כשמעדכנים אישור SSL), מדיניות ה-SSL לא משתנה. הדגל --ssl-policy מתואר במאמר צירוף מדיניות SSL קיימת לשרת proxy יעד קיים.

ניהול מדיניות SSL

אם משתמשים באילוצים מותאמים אישית כדי להגביל את היכולות של TLS, צריך לבדוק באופן ידני את התאימות ל-TLS במדיניות SSL קיימת שמצורפת לשרתי proxy של SSL ולשרתי proxy של HTTPS.

כדי למצוא ולעדכן מדיניות SSL שלא עומדת ביעדי האבטחה שלכם, אפשר להיעזר בשלבים הבאים.

  • כדי למצוא את כל הפרויקטים בארגון שיש בהם משאבי מדיניות SSL:

    gcloud asset search-all-resources \
        --scope=organizations/ORGANIZATION_ID \
        --asset-types=compute.googleapis.com/SslPolicy
    

    מחליפים את ORGANIZATION_ID במזהה הארגון שבו רוצים למצוא את כל הפרויקטים שיש בהם משאבי מדיניות SSL.

  • כדי להציג רשימה של כל כללי ה-SSL הגלובליים והאזוריים בפרויקט, משתמשים בשיטה sslPolicies.aggregatedList עם פרמטר השאילתה includeAllScopes שמוגדר ל-true. לאחר מכן, משתמשים בפרמטר filter של השאילתה כדי לחפש מדיניות SSL שלא תואמת ליעדי האבטחה שלכם.

    לדוגמה, כדי למצוא מדיניות SSL עם גרסת TLS נמוכה מ-1.2, משתמשים במסנן minTlsVersion="TLS_1_0" או minTlsVersion="TLS_1_1":

    curl \
    
      'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY' \
      --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
      --header 'Accept: application/json' \
      --compressed
    

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: השם של מזהה הפרויקט
    • YOUR_API_KEY: מפתח ה-API
    • YOUR_ACCESS_TOKEN: טוקן הגישה שלכם

    במאמר ניהול מפתחות API מוסבר איך לקבל מפתח API. כדי לקבל את טוקן הגישה, משתמשים ב-method ‏projects.serviceAccounts.generateAccessToken.

    לאחר מכן מעדכנים את מדיניות ה-SSL שלא עומדת בדרישת ה-TLS המינימלית.

    כדי לעדכן מדיניות SSL גלובלית, אפשר להשתמש בפקודה הבאה:

    gcloud compute ssl-policies update SSL_POLICY_NAME \
        --min-tls-version=TLS_1_2 \
        --global
    

    מחליפים את SSL_POLICY_NAME בשם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות.

    כדי לעדכן מדיניות SSL אזורית, אפשר להשתמש בפקודה הבאה:

    gcloud compute ssl-policies update SSL_POLICY_NAME \
        --min-tls-version=TLS_1_2 \
        --region REGION
    

    מחליפים את מה שכתוב בשדות הבאים:

    • SSL_POLICY_NAME: השם של מדיניות ה-SSL
    • REGION: האזור של מדיניות ה-SSL
  • כדי להציג ברשימה את כל שרתי ה-proxy של SSL ביעד בפרויקט שלא משויכים למדיניות SSL, מריצים את הפקודה הבאה:

    curl \
    
      'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \
        --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
        --header 'Accept: application/json' \
        --compressed
    

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: השם של מזהה הפרויקט
    • YOUR_API_KEY: מפתח ה-API
    • YOUR_ACCESS_TOKEN: טוקן הגישה שלכם

    כדי לצרף מדיניות SSL לשרתי ה-proxy האלה, אפשר לעיין במאמר צירוף מדיניות SSL קיימת לשרת proxy קיים ליעד.

  • אפשר גם להשתמש ב-מאגר משאבי ענן או ב-Google APIs Explorer כדי למצוא ולעדכן משאבים שלא עומדים בדרישות האבטחה.

    לדוגמה, כדי לחפש רשימה של שרתי proxy של SSL ליעד שלא משויכים למדיניות SSL, אפשר לבצע את השלבים הבאים במאגר משאבי ענן:

    1. נכנסים לדף Asset inventory במסוף Google Cloud .

      מעבר למלאי הנכסים

    2. לוחצים על שאילתת נכסים.

    3. בשדה Edit query, מזינים את השאילתה הבאה ולוחצים על Run.

      select * from `compute_googleapis_com_TargetSslProxy` where resource.data.sslPolicy IS NULL
      
    4. כדי לצרף מדיניות SSL לשרתי ה-proxy האלה, אפשר לעיין במאמר צירוף מדיניות SSL קיימת לשרת proxy קיים ליעד.

    5. מריצים את השאילתה במאגר משאבי הענן עד שמופיעה תשובה ריקה.

מגבלות

מידע על שרתי proxy של יעד

הפניית API

לתיאורים של המאפיינים והשיטות שזמינים לכם כשאתם עובדים עם מדיניות SSL דרך API בארכיטקטורת REST, אפשר לעיין במאמרים הבאים:

מוצר מאמרי העזרה של ה-API
  • מאזן עומסים גלובלי חיצוני של אפליקציות (ALB)
  • מאזן עומסים קלאסי של אפליקציות (ALB)
  • מאזן עומסים פנימי של אפליקציות (ALB) שפועל בכמה אזורים
  • מאזן עומסי רשת גלובלי חיצוני בשרת proxy
  • מאזן עומסי רשת קלאסי בשרת proxy
sslPolicies
  • מאזן עומסים חיצוני אזורי של אפליקציות (ALB)
  • מאזן עומסים פנימי אזורי של אפליקציות (ALB)
regionSslPolicies

מאמרי עזרה על ה-CLI של gcloud

לעיון במאמרי העזרה של Google Cloud CLI:

המאמרים הבאים