Men-deploy instance Secure Web Proxy

Panduan memulai ini menjelaskan cara men-deploy dan menguji instance Secure Web Proxy.

Langkah-langkah ini menjelaskan cara men-deploy Secure Web Proxy dalam mode perutean eksplisit, yang berfungsi sebagai proxy eksplisit. Instance Secure Web Proxy dalam mode pemilihan rute eksplisit dapat dipublikasikan sebagai layanan Private Service Connect.

Atau, Anda dapat men-deploy Secure Web Proxy dalam mode perutean next hop. Untuk informasi selengkapnya, lihat Men-deploy Secure Web Proxy sebagai next hop.

Sebelum memulai

  1. Selesaikan langkah-langkah penyiapan awal.

  2. Opsional: Instal Google Cloud CLI di salah satu lingkungan pengembangan berikut jika Anda ingin menjalankan contoh command line gcloud yang ditentukan dalam panduan ini:

    Cloud Shell

    Untuk menggunakan terminal online dengan gcloud CLI yang sudah disiapkan, aktifkan Cloud Shell:

    Di akhir halaman ini, sesi Cloud Shell akan dimulai dan menampilkan perintah command line. Perlu waktu beberapa detik hingga sesi dimulai.

    Shell lokal

    Untuk menggunakan lingkungan pengembangan lokal, ikuti langkah-langkah berikut:

    1. Instal gcloud CLI.
    2. Lakukan inisialisasi gcloud CLI.

  3. Buat atau pilih project Google Cloud .

    Konsol

    Di konsol Google Cloud , pada halaman pemilih project, pilih atau buat Google Cloud project.

    Buka pemilih project

    Cloud Shell

    • Buat Google Cloud project:

      gcloud projects create PROJECT_ID

      Ganti PROJECT_ID dengan project ID yang Anda inginkan.

    • Pilih project Google Cloud yang Anda buat:

      gcloud config set project PROJECT_ID

  4. Buat instance virtual machine (VM) Linux.

    gcloud compute instances create swp-test-vm \
    --subnet=default \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11

    Ganti ZONE dengan zona instance VM pengujian Anda.

    Compute Engine memberikan peran Compute Instance Admin (roles/compute.instanceAdmin) kepada pengguna yang membuat VM. Compute Engine juga menambahkan pengguna tersebut ke grup sudo.

  5. Membuat aturan firewall.

    gcloud compute firewall-rules create default-allow-ssh \
    --direction=INGRESS \
    --priority=1000 \
    --network=default \
    --action=ALLOW \
    --rules=tcp:22 \
    --source-ranges=0.0.0.0/0

Membuat kebijakan Secure Web Proxy

Konsol

  1. Di Google Cloud console, buka halaman SWP Policies.

    Buka Kebijakan SWP

  2. Klik Buat kebijakan.

  3. Masukkan nama untuk kebijakan yang ingin Anda buat, seperti policy1.

  4. Masukkan deskripsi kebijakan, seperti My new swp policy.

  5. Di daftar Regions, pilih region tempat Anda ingin membuat kebijakan proxy web.

  6. Jika Anda ingin membuat aturan untuk kebijakan, klik Tambahkan aturan. Untuk mengetahui informasi selengkapnya, lihat bagian Membuat aturan Secure Web Proxy.

  7. Klik Buat.

Cloud Shell

  1. Buat file policy.yaml.

      description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1

    Ganti kode berikut:

    • PROJECT_ID: Project ID milik Anda
    • REGION: region kebijakan Anda

  2. Buat kebijakan Secure Web Proxy.

    gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

Membuat aturan Secure Web Proxy

Konsol

  1. Di Google Cloud console, buka halaman SWP Policies.

    Buka Kebijakan SWP

  2. Klik nama kebijakan Anda.

  3. Klik Tambahkan aturan.

  4. Isi kolom aturan berikut:

    1. Nama
    2. Deskripsi
    3. Status
    4. Prioritas: urutan evaluasi numerik aturan. Aturan tersebut dievaluasi dari prioritas tertinggi ke terendah, dengan 0 adalah prioritas tertinggi.
    5. Di bagian Action, tentukan apakah koneksi yang cocok dengan aturan diizinkan (Allow) atau ditolak (Deny).
    6. Di bagian Session Match, tentukan kriteria untuk mencocokkan sesi. Untuk mengetahui informasi selengkapnya tentang sintaksis untuk SessionMatcher, lihat referensi bahasa pencocok CEL.
    7. Opsional: Jika Anda ingin mengaktifkan pemeriksaan TLS, pilih Enable TLS inspection.

    8. Di bagian Application Match, tentukan kriteria untuk mencocokkan permintaan. Jika Anda tidak mengaktifkan aturan untuk pemeriksaan TLS, permintaan hanya dapat cocok dengan traffic HTTP.

      Untuk informasi tentang pencocokan traffic TPC, lihat Mengonfigurasi aturan proxy TCP untuk aplikasi Anda.

    9. Klik Buat.

  5. Klik Tambahkan aturan untuk menambahkan aturan lain.

Cloud Shell

  1. Buat file rule.yaml seperti yang ditunjukkan di sini. Untuk mengetahui informasi selengkapnya tentang sintaksis untuk SessionMatcher, lihat referensi bahasa pencocok CEL.

    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'wikipedia.org'

    • Opsional: Atau, jika Anda ingin membuat aturan dengan konfigurasi pemeriksaan TLS, buat file rule.yaml seperti yang ditunjukkan di sini.

      Untuk informasi tentang pencocokan traffic TPC, lihat Mengonfigurasi aturan proxy TCP untuk aplikasi Anda.

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'wikipedia.org'
applicationMatcher: request.path.contains('index.html')
tlsInspectionEnabled: true

      Ganti kode berikut:

      • PROJECT_ID: ID project Anda
      • REGION: region kebijakan Anda

  2. Buat aturan kebijakan keamanan.

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
    --source=rule.yaml \
    --location=REGION \
    --gateway-security-policy=policy1

Menyiapkan proxy web

Bagian ini menjelaskan cara men-deploy Secure Web Proxy dalam mode pemilihan rute eksplisit, yang berfungsi sebagai proxy eksplisit.

Konsol

  1. Di Google Cloud console, buka halaman Web Proxies.

    Buka Proxy Web

  2. Klik Create a secure web proxy.

  3. Masukkan nama untuk proxy web yang ingin Anda buat, seperti myswp.

  4. Masukkan deskripsi proxy web, seperti My new swp.

  5. Untuk Routing mode, pilih opsi Explicit.

  6. Di daftar Regions, pilih region tempat Anda ingin membuat proxy web.

  7. Di daftar Network, pilih jaringan tempat Anda ingin membuat proxy web.

  8. Dalam daftar Subnetwork, pilih subnetwork tempat Anda ingin membuat proxy web.

  9. Opsional: Masukkan alamat IP Secure Web Proxy. Anda dapat memasukkan alamat IP dari rentang alamat IP Secure Web Proxy yang berada di subnetwork yang Anda buat pada langkah sebelumnya. Jika Anda tidak memasukkan alamat IP, instance Secure Web Proxy Anda akan otomatis memilih alamat IP dari subnetwork yang dipilih.

  10. Di daftar Certificate, pilih sertifikat yang ingin Anda gunakan untuk membuat proxy web.

  11. Di daftar Kebijakan, pilih kebijakan yang Anda buat untuk mengaitkan proxy web.

  12. Klik Buat.

Cloud Shell

  1. Buat file gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: EXPLICIT_ROUTING_MODE

    Ganti kode berikut:

    • PROJECT_ID: Project ID milik Anda
    • REGION: region instance Secure Web Proxy Anda
    • IP_ADDRESS: alamat IP instance Secure Web Proxy Anda
    • NETWORK: jaringan instance Secure Web Proxy Anda
    • SUBNETWORK: subnetwork instance Secure Web Proxy Anda

  2. Buat instance Secure Web Proxy berdasarkan gateway.yaml.

    gcloud network-services gateways import swp1 \
    --source=gateway.yaml \
    --location=REGION

    Mungkin perlu waktu beberapa menit untuk men-deploy instance Secure Web Proxy.

Menguji konektivitas

  1. Hubungkan ke VM yang sebelumnya Anda sediakan.

    gcloud compute ssh swp-test-vm \
    --zone=ZONE

    Ganti ZONE dengan zona instance VM pengujian Anda.

  2. Uji instance Secure Web Proxy.

    curl -x IP_ADDRESS

    Ganti IP_ADDRESS dengan alamat IP instance Proxy Web Aman Anda.

Pembersihan

Agar akun Google Cloud Anda tidak dikenai biaya untuk resource yang digunakan di halaman ini, ikuti langkah-langkah berikut.

Menghapus instance Secure Web Proxy swp1

Konsol

  1. Di Google Cloud console, buka halaman Web Proxies. Anda dapat melihat daftar semua proxy web atau hanya proxy web yang tersedia di jaringan tertentu.

    Buka Proxy Web

  2. Pilih proxy web yang ingin dihapus.

  3. Klik Hapus.

  4. Klik Delete lagi untuk mengonfirmasi.

Cloud Shell 

gcloud network-services gateways delete swp1 \
    --location=REGION

Ganti REGION dengan region instance Secure Web Proxy Anda.

Menghapus aturan allow-wikipedia-org

Konsol

  1. Di Google Cloud console, buka halaman Web Proxies. Anda dapat melihat daftar semua proxy web atau hanya proxy web yang tersedia di jaringan tertentu.

    Buka Proxy Web

  2. Klik kebijakan Anda.

  3. Pilih aturan yang ingin dihapus.

  4. Klik Hapus.

  5. Klik Delete lagi untuk mengonfirmasi.

Cloud Shell 

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Ganti REGION dengan region kebijakan Anda.

Menghapus kebijakan Secure Web Proxy policy1

Konsol

  1. Di Google Cloud console, buka halaman Web Proxies. Anda dapat melihat daftar semua proxy web atau hanya proxy web yang tersedia di jaringan tertentu.

    Buka Proxy Web

  2. Pilih kebijakan yang ingin dihapus.

  3. Klik Hapus.

  4. Klik Delete lagi untuk mengonfirmasi.

Cloud Shell 

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Ganti REGION dengan region kebijakan Anda.

Menghapus instance VM Linux swp-test-vm

Konsol

  1. Di konsol Google Cloud , buka halaman Instance VM.

    Buka instance VM

  2. Pilih instance yang ingin Anda hapus.

  3. Klik Hapus.

Cloud Shell 

gcloud compute instances delete swp-test-vm

Langkah berikutnya