0

为了确定我们的客户连接的 TLS 版本,我需要在 Google Cloud Load Balancer (GKE Ingress) 上记录有关 SSL/TLS 握手的详细信息。

记录 TLS/SSL 版本将是很好的第一步。我需要在第二步中确定请求来自哪个用户。

默认情况下,仅httpRequest记录 ,但不包含有关握手的信息。

httpRequest: {
 latency: "0.077152s"
 remoteIp: "1.2.3.4"
 requestMethod: "POST"
 requestSize: "256988"
 requestUrl: "https://api.foo.bar/v1.0/foo"
 responseSize: "22746"
 serverIp: "1.2.3.4"
 status: 200
 userAgent: "axios/0.20.0"
}
4

1 回答 1

1

要了解客户端请求的 tls_version,您可以创建自定义标头,按照GCP 文档创建自定义标头并分配变量“{tls_version}”。此配置更改将需要几分钟才能实现。

还要确保自定义标头的名称满足此处提到的所有要求。

当外部 HTTP(S) 负载均衡器向后端发出请求时,负载均衡器会添加请求标头。{tls_version} 将扩展 SSL 握手期间客户端和负载均衡器之间协商的 TLS 版本。

您还可以通过后端的日志查看 TLS 版本。

注意:您必须在“兼容”模式下创建SSL 策略才能启用 TLS 版本 1.0 和 1.1。

于 2021-10-22T15:38:27.133 回答