Implantar uma instância do Secure Web Proxy
Este guia de início rápido explica como implantar e testar uma instância de proxy seguro da Web.
Antes de começar
Conclua as etapas de configuração inicial.
Opcional: instale a Google Cloud CLI em qualquer um dos ambientes de desenvolvimento a seguir se você quiser executar os exemplos de linha de comando
gcloudespecificados neste guia:Cloud Shell
Para usar um terminal on-line com a CLI gcloud já configurada, ative o Cloud Shell:
No final desta página, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. A inicialização da sessão pode levar alguns segundos.
Shell local
Para usar um ambiente de desenvolvimento local, siga estas etapas:
Criar ou selecionar um projeto do Google Cloud.
Console
No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.
Cloud Shell
Crie um projeto do Google Cloud:
gcloud projects create PROJECT_IDSubstitua
PROJECT_IDpelo ID do projeto que você quer.Selecione o projeto do Google Cloud que você criou:
gcloud config set project PROJECT_ID
Crie uma instância de máquina virtual (VM) do Linux.
gcloud compute instances create swp-test-vm \ --subnet=default \ --zone=ZONE \ --image-project=debian-cloud \ --image-family=debian-11O Compute Engine concede ao usuário que cria a VM o papel de administrador de instâncias do Compute (
roles/compute.instanceAdmin). O Compute Engine também adiciona esse usuário ao grupo sudo.Crie uma regra de firewall.
gcloud compute firewall-rules create default-allow-ssh \ --direction=INGRESS \ --priority=1000 \ --network=default \ --action=ALLOW \ --rules=tcp:22 \ --source-ranges=0.0.0.0/0
Criar uma política do Secure Web Proxy
Console
No console do Google Cloud, acesse a página Proxy da Web seguro.
Clique na guia Políticas.
Clique em Criar uma política.
Insira um nome para a política que você quer criar, como
myswppolicy.Insira uma descrição da política, como
My new swp policy.Na lista Regiões, selecione a região em que você quer criar a política de proxy da Web.
Se você quiser criar regras para a política, clique em Adicionar regra. Para mais informações, consulte a seção Criar regras do Secure Web Proxy.
Clique em Criar.
Cloud Shell
Crie o arquivo
policy.yaml.description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1Crie a política do Secure Web Proxy.
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION
Criar regras do Secure Web Proxy
Console
No console do Google Cloud, acesse a página Proxy da Web seguro.
Clique na guia Políticas.
Clique no nome da sua política.
Clique em Adicionar regra.
Preencha os seguintes campos da regra:
- Nome
- Descrição
- Status
- Prioridade: a ordem de avaliação numérica da regra. As regras são
avaliadas da prioridade mais alta para a mais baixa, em que
0é a mais alta. - Na seção Ação, especifique se as conexões que correspondem à regra são permitidas (Permitir) ou negadas (Negar).
- Na seção Correspondência de sessão, especifique os critérios para
corresponder à sessão. Para mais informações sobre a sintaxe de
SessionMatcher, consulte a referência da linguagem do comparador CEL. - Opcional: se você quiser ativar a inspeção TLS, selecione Ativar inspeção TLS.
- Na seção Correspondência de aplicativo, especifique os critérios para corresponder à solicitação. Se você não ativar a regra para a inspeção TLS, a solicitação só poderá corresponder ao tráfego HTTP.
- Clique em Criar.
Clique em Adicionar regra para adicionar outra regra.
Cloud Shell
Crie o arquivo
rule.yaml, conforme mostrado aqui.```yaml name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org description: Allow wikipedia.org enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'wikipedia.org' ```Opcional: se você quiser criar uma regra com a configuração de inspeção TLS, crie o arquivo
rule.yamlconforme mostrado aqui.```yaml name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org description: Allow wikipedia.org enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'wikipedia.org' applicationMatcher: request.path.contains('index.html') tlsInspectionEnabled: true
Crie a regra da política de segurança.
gcloud network-security gateway-security-policies rules import allow-wikipedia-org \ --source=rule.yaml \ --location=REGION \ --gateway-security-policy=policy1
Configurar um proxy da Web
Esta seção explica como implantar o Secure Web Proxy como um proxy explícito.
Também é possível implantar o proxy seguro da Web como um anexo de serviço do Private Service Connect ou como um salto seguinte.
Console
No console do Google Cloud, acesse a página Proxy da Web seguro.
Clique na guia Proxies da Web.
Clique em Criar um proxy da Web seguro.
Insira um nome para o proxy da Web que você quer criar, como
myswp.Insira uma descrição do proxy da Web, como
My new swp.Em Modo de roteamento, selecione a opção Explícito.
Na lista Regiões, selecione a região em que você quer criar o proxy da Web.
Na lista Rede, selecione a rede em que você quer criar o proxy da Web.
Na lista Sub-rede, selecione a sub-rede em que você quer criar o proxy da Web.
Digite o endereço IP do proxy da Web.
Na lista Certificado, selecione o certificado que você quer usar para criar o proxy da Web.
Na lista Política, selecione a política que você criou para associar ao proxy da Web.
Clique em Criar.
Cloud Shell
Crie o arquivo
gateway.yaml.name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/NETWORK subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK routingMode: EXPLICIT_ROUTING_MODECrie uma instância do Secure Web Proxy.
gcloud network-services gateways import swp1 \ --source=gateway.yaml \ --location=REGIONA implantação de uma instância do proxy seguro da Web pode levar vários minutos.
testar a conectividade
Conecte-se à VM que você provisionou anteriormente.
gcloud compute ssh swp-test-vm \ --zone=ZONETeste a instância do Secure Web Proxy.
curl -x IP_ADDRESS
Limpar
Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga estas etapas.
Exclua a instância do Secure Web Proxy swp1.
Console
No console do Google Cloud, acesse a página Proxy da Web seguro. É possível ver a lista de todos os proxies da Web ou apenas aqueles que estão disponíveis em uma rede específica.
Selecione o proxy da Web que você quer excluir.
Clique em Excluir.
Clique em Excluir novamente para confirmar.
Cloud Shell
gcloud network-services gateways delete swp1 \
--location=REGION
Excluir a regra allow-wikipedia-org
Console
No console do Google Cloud, acesse a página Proxy da Web seguro. É possível ver a lista de todos os proxies da Web ou apenas aqueles que estão disponíveis em uma rede específica.
Clique na guia Políticas.
Clique na sua política.
Selecione a regra que você quer excluir.
Clique em Excluir.
Clique em Excluir novamente para confirmar.
Cloud Shell
gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
--location=REGION \
--gateway-security-policy=policy1
Exclua a política do Secure Web Proxy policy1.
Console
No console do Google Cloud, acesse a página Proxy da Web seguro. É possível ver uma lista de todos os proxies da Web ou apenas aqueles em uma rede específica.
Clique na guia Políticas.
Selecione a política que você quer excluir.
Clique em Excluir.
Clique em Excluir novamente para confirmar.
Cloud Shell
gcloud network-security gateway-security-policies delete policy1 \
--location=REGION
Exclua a instância de VM do Linux swp-test-vm.
Console
No console do Google Cloud, acesse a página Instâncias de VMs.
Selecione as instâncias que você quer excluir.
Clique em Excluir.
Cloud Shell
gcloud compute instances delete swp-test-vm