שימוש במדיניות SSL

מדיניות SSL מציינת גרסת TLS מינימלית וקבוצה של יכולות TLS ש-Cloud Load Balancing משתמש בהן כשמתנהל משא ומתן על SSL עם לקוחות. במסמך הזה, המונח SSL מתייחס גם לפרוטוקול SSL וגם לפרוטוקול TLS.

מאזני העומסים הבאים תומכים במדיניות SSL:

  • מדיניות SSL גלובלית
    • מאזן עומסים גלובלי חיצוני של אפליקציות (ALB)
    • מאזן עומסים קלאסי של אפליקציות (ALB)
    • מאזן עומסי רשת חיצוני לשרת proxy (עם שרת proxy של SSL ביעד)
    • מאזן עומסים פנימי של אפליקציות (ALB) שפועל בכמה אזורים
  • מדיניות SSL אזורית
    • מאזן עומסים חיצוני אזורי של אפליקציות (ALB)
    • מאזן עומסים פנימי אזורי של אפליקציות (ALB)

מידע נוסף על אופן הפעולה של מדיניות SSL זמין במאמר בנושא מדיניות SSL לפרוטוקולים מסוג SSL ו-TLS.

אפשר ליצור ולנהל מדיניות SSL באמצעות מסוף Google Cloud או Google Cloud CLI כשיוצרים מאזן עומסים של HTTPS או SSL, או בכל שלב אחרי שיוצרים את מאזן העומסים.

יצירת מדיניות SSL

אפשר ליצור מדיניות SSL עם פרופילים מוגדרים מראש או עם פרופיל בהתאמה אישית.

יצירת מדיניות SSL עם פרופיל מוגדר מראש

המסוף

מדיניות SSL גלובלית

כדי ליצור מדיניות SSL גלובלית עם פרופיל מוגדר מראש:

  1. נכנסים לדף SSL policies במסוף Google Cloud .

    מעבר למדיניות SSL

  2. לוחצים על יצירת מדיניות.

  3. עבור מדיניות SSL גלובלית, לחץ על הלחצן Create שלידו. יופיע הדף Create policy.

  4. מזינים שם.

  5. בוחרים ערך בשדה גרסת TLS מינימלית.

  6. בקטע פרופיל, בוחרים באפשרות תואם, מודרני, מוגבל או FIPS_202205.

    • במדיניות SSL שמשתמשת בפרופיל FIPS_202205 חייבים להשתמש בגרסת TLS מינימלית של 1.2.
    • אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3, המדיניות חייבת להשתמש בפרופיל RESTRICTED.

    מוצגות התכונות המופעלות והתכונות המושבתות בפרופיל.

  7. אם יש מאזן עומסים שרוצים לצרף אליו את המדיניות, לוחצים על Apply to targets (החלה על יעדים) ובוחרים כלל העברה כיעד של מדיניות ה-SSL. אם צריך, מוסיפים עוד יעדים.

  8. לוחצים על יצירה.

מדיניות SSL אזורית

כדי ליצור מדיניות SSL אזורית עם פרופיל מוגדר מראש:

  1. נכנסים לדף SSL policies במסוף Google Cloud .

    מעבר למדיניות SSL

  2. לוחצים על יצירת מדיניות.

  3. בקטע Regional SSL policy (מדיניות SSL אזורית), לוחצים על הלחצן Create (יצירה) שלידו. יופיע הדף Create policy.

  4. מזינים שם.

  5. בשדה Region, בוחרים אזור.

  6. בוחרים ערך בשדה גרסת TLS מינימלית.

  7. בקטע פרופיל, בוחרים באפשרות תואם, מודרני, מוגבל או FIPS_202205.

    • במדיניות SSL שמשתמשת בפרופיל FIPS_202205 חייבים להשתמש בגרסת TLS מינימלית של 1.2.
    • אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3, המדיניות חייבת להשתמש בפרופיל RESTRICTED.

    מוצגות התכונות המופעלות והתכונות המושבתות בפרופיל.

  8. אם יש מאזן עומסים שרוצים לצרף אליו את המדיניות, לוחצים על החלה על יעדים ובוחרים כלל העברה כיעד של מדיניות ה-SSL. אם צריך, מוסיפים עוד יעדים.

  9. לוחצים על יצירה.

gcloud

מדיניות SSL גלובלית

התחביר הכללי ליצירת מדיניות SSL גלובלית עם פרופיל מוגדר מראש:

  • במדיניות SSL שמשתמשת בפרופיל FIPS_202205 חייבים להשתמש בגרסת TLS מינימלית של 1.2.
  • אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3, המדיניות חייבת להשתמש בפרופיל RESTRICTED.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3}

מחליפים את SSL_POLICY_NAME בשם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות.

הפקודה הבאה יוצרת מדיניות SSL גלובלית עם פרופיל MODERN:

gcloud compute ssl-policies create my-ssl-policy \
    --profile MODERN \
    --min-tls-version 1.0

מדיניות SSL אזורית

התחביר הכללי ליצירת מדיניות SSL אזורית עם פרופיל מוגדר מראש:

  • במדיניות SSL שמשתמשת בפרופיל FIPS_202205 חייבים להשתמש בגרסת TLS מינימלית של 1.2.
  • אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3, המדיניות חייבת להשתמש בפרופיל RESTRICTED.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --region REGION

מחליפים את מה שכתוב בשדות הבאים:

  • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמנהלים משא ומתן על חיבורים עם לקוחות
  • REGION: האזור של מדיניות ה-SSL

הפקודה הבאה יוצרת מדיניות SSL אזורית עם פרופיל COMPATIBLE:

gcloud compute ssl-policies create my-ssl-policy \
    --profile COMPATIBLE \
    --min-tls-version 1.1 \
    --region us-west1

יצירת מדיניות SSL עם פרופיל בהתאמה אישית

המסוף

מדיניות SSL גלובלית

כדי ליצור מדיניות SSL גלובלית עם פרופיל בהתאמה אישית:

  1. נכנסים לדף SSL policies במסוף Google Cloud .

    מעבר למדיניות SSL

  2. לוחצים על יצירת מדיניות.

  3. עבור מדיניות SSL גלובלית, לחץ על הלחצן Create שלידו. יופיע הדף Create policy.

  4. מזינים שם.

  5. בוחרים ערך בשדה גרסת TLS מינימלית.

  6. בשדה פרופיל, בוחרים באפשרות בהתאמה אישית. כל התכונות מוצגות כתכונות מושבתות.

  7. ברשימת התכונות, בוחרים כל סט אלגוריתמים להצפנה שרוצים להפעיל. חבילות ההצפנה שאתם מפעילים מופיעות בתכונות מופעלות.

  8. אם יש מאזן עומסים שרוצים לצרף אליו את המדיניות, לוחצים על Apply to targets (החלה על יעדים) ובוחרים כלל העברה כיעד של מדיניות ה-SSL. אם צריך, מוסיפים עוד יעדים.

  9. לוחצים על יצירה.

מדיניות SSL אזורית

כדי ליצור מדיניות SSL אזורית עם פרופיל בהתאמה אישית:

  1. נכנסים לדף SSL policies במסוף Google Cloud .

    מעבר למדיניות SSL

  2. לוחצים על יצירת מדיניות.

  3. בקטע Regional SSL policy (מדיניות SSL אזורית), לוחצים על הלחצן Create (יצירה) שלידו. יופיע הדף Create policy.

  4. מזינים שם.

  5. בשדה Region, בוחרים אזור.

  6. בוחרים ערך בשדה גרסת TLS מינימלית.

  7. בשדה פרופיל, בוחרים באפשרות בהתאמה אישית. כל התכונות מוצגות כתכונות מושבתות.

  8. ברשימת התכונות, בוחרים כל סט אלגוריתמים להצפנה שרוצים להפעיל. חבילות ההצפנה שאתם מפעילים מופיעות בתכונות מופעלות.

  9. אם יש מאזן עומסים שרוצים לצרף אליו את המדיניות, לוחצים על Apply to targets (החלה על יעדים) ובוחרים כלל העברה כיעד של מדיניות ה-SSL. אם צריך, מוסיפים עוד יעדים.

  10. לוחצים על יצירה.

gcloud

כשיוצרים מדיניות SSL עם פרופיל CUSTOM, רק התכונות שמציינים בפקודה create נתמכות. אין תמיכה בתכונות אחרות.

מדיניות SSL גלובלית

התחביר הכללי ליצירת מדיניות SSL גלובלית עם פרופיל בהתאמה אישית:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version {1.0 | 1.1 | 1.2} \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3]

מחליפים את מה שכתוב בשדות הבאים:

  • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את היכולות של TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות
  • SSL_FEATURE_1 | 2 | 3: התכונות המותאמות אישית שרוצים להחיל

בדוגמה הבאה נוצרת מדיניות SSL גלובלית שמשתמשת בפרופיל CUSTOM עם גרסת TLS מינימלית של 1.2 וכוללת את התכונות TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 ו-TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

מדיניות SSL אזורית

התחביר הכללי ליצירת מדיניות SSL אזורית עם פרופיל מותאם אישית:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version {1.0 | 1.1 | 1.2} \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --region REGION

מחליפים את מה שכתוב בשדות הבאים:

  • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את היכולות של TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות
  • SSL_FEATURE_1 | 2 | 3: התכונות המותאמות אישית שרוצים להחיל
  • REGION: האזור שבו רוצים להחיל את מדיניות ה-SSL

בדוגמה הבאה נוצרת מדיניות SSL אזורית שמשתמשת בפרופיל CUSTOM עם גרסת TLS מינימלית של 1.2 וכוללת את התכונות TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 ו-TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \
    --region us-west1

הצגת רשימת כללי מדיניות SSL

המסוף

נכנסים לדף SSL policies במסוף Google Cloud .

מעבר למדיניות SSL

תוכלו לראות רשימה של כל כללי מדיניות ה-SSL הזמינים. בשדה היקף מצוין אם מדיניות ה-SSL היא גלובלית או אזורית.

gcloud

מציגים את כללי מדיניות ה-SSL הגלובליים והאזוריים:

gcloud compute ssl-policies list

כדי להציג רק את כללי מדיניות ה-SSL הגלובליים:

gcloud compute ssl-policies list --global

כדי להציג רק מדיניות SSL אזורית:

gcloud compute ssl-policies list --regions REGION

מחליפים את REGION באזור שבו רוצים להחיל את מדיניות ה-SSL.

רשימת התכונות שזמינות במדיניות SSL

המסוף

  1. נכנסים לדף SSL policies במסוף Google Cloud .

    מעבר למדיניות SSL

  2. לוחצים על שם המדיניות שרוצים לראות את התכונות שלה. מוצגות רשימות של סטים של אלגוריתמים להצפנה שמופעלים ומושבתים.

gcloud

רשימת התכונות שזמינות במדיניות SSL גלובלית:

gcloud compute ssl-policies list-available-features

רשימת התכונות שזמינות במדיניות SSL אזורית:

gcloud compute ssl-policies list-available-features \
    --region REGION

מחליפים את REGION באזור של מדיניות ה-SSL שרוצים לראות את התכונות שלה.

שינוי מדיניות SSL

המסוף

כדי לשנות מדיניות SSL גלובלית או אזורית:

  1. נכנסים לדף SSL policies במסוף Google Cloud .

    מעבר למדיניות SSL

  2. לוחצים על שם המדיניות שרוצים לשנות.

  3. לוחצים על Edit.

  4. מבצעים את השינויים הרצויים.

  5. לוחצים על Save.

gcloud

כדי לשנות מדיניות SSL קיימת, מעבירים את כל הדגלים או חלק מהם שמתאימים לשדות שרוצים לעדכן. שדות שלא צוינו לא מתעדכנים.

אם מעדכנים את התכונות, התכונות שהופעלו בעבר נמחקות ומוחלפות בתכונות החדשות שצוינו.

מדיניות SSL גלובלית

  • במדיניות SSL שמשתמשת בפרופיל FIPS_202205 חייבים להשתמש בגרסת TLS מינימלית של 1.2.
  • אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3, המדיניות חייבת להשתמש בפרופיל RESTRICTED.

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --custom-features FEATURES

מחליפים את מה שכתוב בשדות הבאים:

  • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את היכולות של TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות
  • FEATURES: התכונות שרוצים להחיל על מדיניות ה-SSL

מדיניות SSL אזורית

  • במדיניות SSL שמשתמשת בפרופיל FIPS_202205 חייבים להשתמש בגרסת TLS מינימלית של 1.2.
  • אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3, המדיניות חייבת להשתמש בפרופיל RESTRICTED.

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    [--custom-features FEATURES \]
    --region REGION

מחליפים את מה שכתוב בשדות הבאים:

  • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את היכולות של TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות
  • FEATURES: התכונות שרוצים להחיל על מדיניות ה-SSL
  • REGION: האזור של מדיניות ה-SSL שרוצים לעדכן את התכונות שלה

יצירת שרת proxy ליעד עם מדיניות SSL

המסוף

אפשר ליצור שרת proxy ליעד באמצעות מסוף Google Cloud כשיוצרים או מעדכנים את מאזן העומסים, כמו שמוסבר במסמכים הבאים:

gcloud

כדי ליצור שרת proxy של SSL ביעד עם מדיניות SSL גלובלית:

gcloud compute target-ssl-proxies create TARGET_SSL_PROXY_NAME \
    --backend-service BACKEND_SERVICE_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --ssl-policy SSL_POLICY_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • TARGET_SSL_PROXY_NAME: השם של שרת ה-proxy של היעד
  • BACKEND_SERVICE_NAME: השם של שירות הקצה העורפי
  • SSL_CERTIFICATE_NAME: השם של אישור ה-TLS
  • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את היכולות של TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות

כדי ליצור שרת proxy גלובלי של HTTPS ביעד עם מדיניות SSL גלובלית:

gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    --ssl-policy SSL_POLICY_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • TARGET_HTTPS_PROXY_NAME: השם של שרת ה-proxy של היעד
  • SSL_CERTIFICATE_NAME: השם של אישור ה-TLS
  • URL_MAP_NAME: השם של מפת URL
  • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות

כדי ליצור שרת proxy אזורי של HTTPS ביעד עם מדיניות SSL אזורית:

gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    --url-map-region MAP_REGION \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

מחליפים את מה שכתוב בשדות הבאים:

  • REGIONAL_TARGET_HTTPS_PROXY_NAME: השם של שרת ה-proxy ליעד
  • SSL_CERTIFICATE_NAME: השם של אישור ה-TLS
  • URL_MAP_NAME: השם של מפת URL
  • MAP_REGION: השם של האזור שבו ממוקמת מפת ה-URL Google Cloud
  • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את היכולות של TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות
  • REGION: האזור של מדיניות ה-SSL שרוצים ליצור איתה את ה-proxy ל-HTTPS עם יעד

צירוף מדיניות SSL קיימת לשרת proxy קיים ליעד

המסוף

אי אפשר לשנות את שרתי ה-proxy של היעד במסוף Google Cloud . במקום זאת, אפשר להשתמש ב-CLI של gcloud או ב-API.

gcloud

אפשר להשתמש בפקודות האלה כדי לצרף מדיניות SSL קיימת ל שרת proxy של SSL או ל שרת proxy של HTTPS.

  • כדי למצוא את כל הפרויקטים בארגון שיש להם שרתי proxy של SSL ליעד:

    gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/TargetSslProxy

    מחליפים את ORGANIZATION_ID במזהה הארגון שבו רוצים למצוא את שרתי ה-proxy של SSL.

  • כדי למצוא את כל הפרויקטים בארגון שיש בהם שרתי proxy של HTTPS:

    gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/TargetHttpsProxy

    מחליפים את ORGANIZATION_ID במזהה הארגון שבו רוצים למצוא את שרתי ה-proxy של HTTPS.

  • כדי להציג רשימה של כל שרתי ה-proxy הגלובליים של SSL בפרויקט, משתמשים בשיטה targetSslProxies.aggregatedList. לאחר מכן, משתמשים בפרמטר השאילתה filter כדי לחפש שרתי proxy של SSL שאינם מפנים למדיניות SSL.

    curl \
    'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: השם של מזהה הפרויקט
    • YOUR_API_KEY: מפתח ה-API
    • YOUR_ACCESS_TOKEN: טוקן הגישה שלכם

  • כדי לראות את רשימת כל שרתי ה-proxy של HTTPS ביעד (גלובליים ואזוריים) בפרויקט, משתמשים בשיטה targetHttpsProxies.aggregatedList כשפרמטר השאילתה includeAllScopes מוגדר ל-true. לאחר מכן, משתמשים בפרמטר filterquery כדי לחפש שרתי proxy של HTTPS לטירגוט שלא מפנים למדיניות SSL.

    curl \
    'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: השם של מזהה הפרויקט
    • YOUR_API_KEY: מפתח ה-API
    • YOUR_ACCESS_TOKEN: טוקן הגישה שלכם

  • כדי לצרף מדיניות SSL גלובלית קיימת לשרת proxy של SSL ביעד:

    gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

    מחליפים את מה שכתוב בשדות הבאים:

    • TARGET_SSL_PROXY_NAME: השם של שרת ה-proxy של היעד
    • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמנהלים משא ומתן על חיבורים עם לקוחות

  • כדי לצרף מדיניות SSL גלובלית קיימת לשרת proxy גלובלי של HTTPS ביעד:

    gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

    מחליפים את מה שכתוב בשדות הבאים:

    • TARGET_HTTPS_PROXY_NAME: השם של שרת ה-proxy של היעד
    • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמנהלים משא ומתן על חיבורים עם לקוחות

  • כדי לצרף מדיניות SSL אזורית קיימת לשרת proxy אזורי של HTTPS ביעד:

    gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

    מחליפים את מה שכתוב בשדות הבאים:

    • REGIONAL_TARGET_HTTPS_PROXY_NAME: השם של שרת ה-proxy של היעד
    • SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמנהלים משא ומתן על חיבורים עם לקוחות
    • REGION: האזור של מדיניות ה-SSL שרוצים לצרף לשרת ה-proxy ל-HTTPS עם יעד אזורי

אם לא מספקים את האפשרות --ssl-policy או את האפשרות --clear-ssl-policy בעדכון של שרת proxy ליעד (לדוגמה, כשמעדכנים אישור SSL), מדיניות ה-SSL לא משתנה. הדגל --clear-ssl-policy מתואר במאמר מחיקת מדיניות SSL משרת proxy ליעד.

API

כדי להגדיר מדיניות SSL גלובלית לשרת proxy גלובלי ליעד, משתמשים ב-method ‏targetHttpsProxies.patch.

כדי להגדיר מדיניות SSL אזורית לשרת proxy אזורי ליעד, משתמשים ב-method ‏regionTargetHttpsProxies.patch.

מחיקת מדיניות SSL משרת proxy ליעד

המסוף

אי אפשר לשנות את שרתי ה-proxy של היעד במסוף Google Cloud . במקום זאת, אפשר להשתמש ב-CLI של gcloud או ב-API.

gcloud

אפשר להשתמש בפקודות האלה כדי להסיר מדיניות SSL מ שרת proxy של SSL או שרת proxy של HTTPS. אם לא מצרפים מדיניות SSL אחרת לשרת ה-proxy של היעד, מאזן העומסים משתמש במדיניות ה-SSL שמוגדרת כברירת מחדל. השימוש בדגל --clear-ssl-policy שקול להחלפת מדיניות SSL במדיניות SSL שמוגדרת כברירת מחדל.

כדי להסיר מדיניות SSL גלובלית משרת proxy של SSL ביעד:

gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --clear-ssl-policy

מחליפים את TARGET_SSL_PROXY_NAME בשם של שרת ה-proxy של היעד.

כדי להסיר מדיניות SSL גלובלית משרת proxy גלובלי של HTTPS ליעד:

gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy

מחליפים את TARGET_HTTPS_PROXY_NAME בשם של שרת ה-proxy של היעד.

כדי להסיר מדיניות SSL אזורית משרת proxy אזורי של HTTPS ביעד:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy \
    --region REGION

מחליפים את מה שכתוב בשדות הבאים:

  • REGIONAL_TARGET_HTTPS_PROXY_NAME: השם של שרת ה-proxy של היעד
  • REGION: האזור של מדיניות ה-SSL שרוצים לצרף לשרת ה-proxy ל-HTTPS עם יעד אזורי

כשמספקים את הדגל --clear-ssl-policy בפקודת העדכון, מדיניות ה-SSL מוסרת מהפרוקסי.

אם לא מספקים את האפשרות --clear-ssl-policy או את האפשרות --ssl-policy בעדכון של שרת proxy ליעד (לדוגמה, כשמעדכנים אישור SSL), מדיניות ה-SSL לא משתנה. הדגל --ssl-policy מתואר במאמר צירוף מדיניות SSL קיימת לשרת proxy יעד קיים.

ניהול מדיניות SSL

אם משתמשים באילוצים מותאמים אישית כדי להגביל את היכולות של TLS, צריך לבדוק באופן ידני את התאימות ל-TLS במדיניות SSL קיימת שמצורפת לשרתי proxy של SSL ולשרתי proxy של HTTPS.

כדי למצוא ולעדכן מדיניות SSL שלא עומדת ביעדי האבטחה שלכם, אפשר להיעזר בשלבים הבאים.

  • כדי למצוא את כל הפרויקטים בארגון שיש בהם משאבי מדיניות SSL:

    gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/SslPolicy

    מחליפים את ORGANIZATION_ID במזהה הארגון שבו רוצים למצוא את כל הפרויקטים שיש בהם משאבי מדיניות SSL.

  • כדי להציג רשימה של כל כללי ה-SSL הגלובליים ו האזוריים בפרויקט, משתמשים בשיטה sslPolicies.aggregatedList עם פרמטר השאילתה includeAllScopes שמוגדר ל-true. לאחר מכן, משתמשים בפרמטר filter של השאילתה כדי לחפש מדיניות SSL שלא תואמת ליעדי האבטחה שלכם.

    לדוגמה, כדי למצוא מדיניות SSL עם גרסת TLS נמוכה מ-1.2, משתמשים במסנן minTlsVersion="TLS_1_0" או minTlsVersion="TLS_1_1":

    curl \

  'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY' \
  --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
  --header 'Accept: application/json' \
  --compressed

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: השם של מזהה הפרויקט
    • YOUR_API_KEY: מפתח ה-API
    • YOUR_ACCESS_TOKEN: טוקן הגישה שלכם

    במאמר ניהול מפתחות API מוסבר איך לקבל מפתח API. כדי לקבל את טוקן הגישה, משתמשים ב-method ‏projects.serviceAccounts.generateAccessToken.

    לאחר מכן מעדכנים את מדיניות ה-SSL שלא עומדת בדרישת ה-TLS המינימלית.

    כדי לעדכן מדיניות SSL גלובלית, אפשר להשתמש בפקודה הבאה:

    gcloud compute ssl-policies update SSL_POLICY_NAME \
    --min-tls-version=TLS_1_2 \
    --global

    מחליפים את SSL_POLICY_NAME בשם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות.

    כדי לעדכן מדיניות SSL אזורית, אפשר להשתמש בפקודה הבאה:

    gcloud compute ssl-policies update SSL_POLICY_NAME \
    --min-tls-version=TLS_1_2 \
    --region REGION

    מחליפים את מה שכתוב בשדות הבאים:

    • SSL_POLICY_NAME: השם של מדיניות ה-SSL
    • REGION: האזור של מדיניות ה-SSL

  • כדי להציג ברשימה את כל שרתי ה-proxy של SSL ביעד בפרויקט שלא משויכים למדיניות SSL, מריצים את הפקודה הבאה:

    curl \

  'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: השם של מזהה הפרויקט
    • YOUR_API_KEY: מפתח ה-API
    • YOUR_ACCESS_TOKEN: טוקן הגישה שלכם

    כדי לצרף מדיניות SSL לשרתי ה-proxy של היעד האלה, אפשר לעיין במאמר צירוף מדיניות SSL קיימת לשרת proxy קיים של יעד.

  • אפשר גם להשתמש ב-מאגר משאבי ענן או ב-Google APIs Explorer כדי למצוא ולעדכן משאבים שלא עומדים בדרישות האבטחה שלכם.

    לדוגמה, כדי לחפש רשימה של שרתי proxy של SSL ליעד שלא משויכים למדיניות SSL, אפשר לבצע את השלבים הבאים במאגר משאבי ענן:

    1. נכנסים לדף Asset inventory במסוף Google Cloud .

      מעבר למלאי הנכסים

    2. לוחצים על Asset query (שאילתת נכסים).

    3. בשדה Edit query, מזינים את השאילתה הבאה ולוחצים על Run.

      select * from `compute_googleapis_com_TargetSslProxy` where resource.data.sslPolicy IS NULL

    4. כדי לצרף מדיניות SSL לשרתי ה-proxy של היעד האלה, אפשר לעיין במאמר צירוף מדיניות SSL קיימת לשרת proxy קיים של יעד.

    5. מריצים את השאילתה במאגר משאבי הענן עד שמופיעה תשובה ריקה.

מגבלות

מידע על שרתי proxy של יעד

הפניית API

לתיאורים של המאפיינים והשיטות שזמינים לכם כשאתם עובדים עם מדיניות SSL דרך API בארכיטקטורת REST, אפשר לעיין במאמרים הבאים:

מוצר מאמרי העזרה של ה-API
  • מאזן עומסים גלובלי חיצוני של אפליקציות (ALB)
  • מאזן עומסים קלאסי של אפליקציות (ALB)
  • מאזן עומסים פנימי של אפליקציות (ALB) שפועל בכמה אזורים
  • מאזן עומסי רשת גלובלי חיצוני בשרת proxy
  • מאזן עומסי רשת קלאסי בשרת proxy
 sslPolicies
  • מאזן עומסים חיצוני אזורי של אפליקציות (ALB)
  • מאזן עומסים פנימי אזורי של אפליקציות (ALB)
 regionSslPolicies

מאמרי עזרה על CLI של gcloud

לעיון במאמרי העזרה של Google Cloud CLI:

המאמרים הבאים