Implantar uma instância do Secure Web Proxy
Este guia de início rápido explica como implantar e testar uma instância de proxy seguro da Web.
Antes de começar
Conclua as etapas de configuração inicial.
Opcional: instale a Google Cloud CLI em qualquer um dos ambientes de desenvolvimento a seguir se você quiser executar os exemplos de linha de comando
gcloudespecificados neste guia:Cloud Shell
Para usar um terminal on-line com a CLI gcloud já configurada, ative o Cloud Shell:
No final desta página, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. A inicialização da sessão pode levar alguns segundos.
Shell local
Para usar um ambiente de desenvolvimento local, siga estas etapas:
Crie ou selecione um Google Cloud projeto.
Console
No console Google Cloud , na página do seletor de projetos, selecione ou crie um Google Cloud projeto.
Cloud Shell
Crie um Google Cloud projeto:
gcloud projects create PROJECT_IDSubstitua
PROJECT_IDpelo ID do projeto que você quer.Selecione o projeto Google Cloud que você criou:
gcloud config set project PROJECT_ID
Crie uma instância de máquina virtual (VM) do Linux.
gcloud compute instances create swp-test-vm \ --subnet=default \ --zone=ZONE \ --image-project=debian-cloud \ --image-family=debian-11O Compute Engine concede ao usuário que cria a VM o papel de administrador de instâncias do Compute (
roles/compute.instanceAdmin). O Compute Engine também adiciona esse usuário ao grupo sudo.Crie uma regra de firewall.
gcloud compute firewall-rules create default-allow-ssh \ --direction=INGRESS \ --priority=1000 \ --network=default \ --action=ALLOW \ --rules=tcp:22 \ --source-ranges=0.0.0.0/0
Criar uma política do Secure Web Proxy
Console
No Google Cloud console, acesse a página Políticas do SWP.
Clique em Criar uma política.
Insira um nome para a política que você quer criar, como
myswppolicy.Insira uma descrição da política, como
My new swp policy.Na lista Regiões, selecione a região em que você quer criar a política de proxy da Web.
Se você quiser criar regras para a política, clique em Adicionar regra. Para mais informações, consulte a seção Criar regras do Secure Web Proxy.
Clique em Criar.
Cloud Shell
Crie o arquivo
policy.yaml.description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1Crie a política do Secure Web Proxy.
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION
Criar regras do Secure Web Proxy
Console
No Google Cloud console, acesse a página Políticas do SWP.
Clique no nome da sua política.
Clique em Adicionar regra.
Preencha os seguintes campos da regra:
- Nome
- Descrição
- Status
- Prioridade: ordem de avaliação numérica da regra. As regras são
avaliadas da prioridade mais alta para a mais baixa, em que
0é a mais alta. - Na seção Ação, especifique se as conexões que correspondem à regra são permitidas (Permitir) ou negadas (Negar).
- Na seção Correspondência de sessão, especifique os critérios para
corresponder à sessão. Para mais informações sobre a sintaxe de
SessionMatcher, consulte a referência da linguagem do comparador CEL. - Opcional: se você quiser ativar a inspeção TLS, selecione Ativar inspeção TLS.
- Na seção Correspondência de aplicativo, especifique os critérios para corresponder à solicitação. Se você não ativar a regra para a inspeção TLS, a solicitação só poderá corresponder ao tráfego HTTP.
- Clique em Criar.
Clique em Adicionar regra para adicionar outra regra.
Cloud Shell
Crie o arquivo
rule.yaml, conforme mostrado aqui.```yaml name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org description: Allow wikipedia.org enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'wikipedia.org' ```Opcional: se você quiser criar uma regra com a configuração de inspeção TLS, crie o arquivo
rule.yamlconforme mostrado aqui.```yaml name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org description: Allow wikipedia.org enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'wikipedia.org' applicationMatcher: request.path.contains('index.html') tlsInspectionEnabled: true
Crie a regra da política de segurança.
gcloud network-security gateway-security-policies rules import allow-wikipedia-org \ --source=rule.yaml \ --location=REGION \ --gateway-security-policy=policy1
Configurar um proxy da Web
Esta seção explica como implantar o Secure Web Proxy como um proxy explícito.
Também é possível implantar o proxy seguro da Web como um anexo de serviço do Private Service Connect ou como um salto seguinte.
Console
No Google Cloud console, acesse a página Proxys da Web.
Clique em Criar um proxy da Web seguro.
Insira um nome para o proxy da Web que você quer criar, como
myswp.Insira uma descrição do proxy da Web, como
My new swp.Em Modo de roteamento, selecione a opção Explícito.
Na lista Regiões, selecione a região em que você quer criar o proxy da Web.
Na lista Rede, selecione a rede em que você quer criar o proxy da Web.
Na lista Sub-rede, selecione a sub-rede em que você quer criar o proxy da Web.
Digite o endereço IP do proxy da Web.
Na lista Certificado, selecione o certificado que você quer usar para criar o proxy da Web.
Na lista Política, selecione a política que você criou para associar ao proxy da Web.
Clique em Criar.
Cloud Shell
Crie o arquivo
gateway.yaml.name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/NETWORK subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK routingMode: EXPLICIT_ROUTING_MODECrie uma instância do Secure Web Proxy.
gcloud network-services gateways import swp1 \ --source=gateway.yaml \ --location=REGIONA implantação de uma instância do proxy seguro da Web pode levar vários minutos.
testar a conectividade
Conecte-se à VM que você provisionou anteriormente.
gcloud compute ssh swp-test-vm \ --zone=ZONETeste a instância do Secure Web Proxy.
curl -x IP_ADDRESS
Limpar
Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga estas etapas.
Exclua a instância do Secure Web Proxy swp1.
Console
No Google Cloud console, acesse a página Proxys da Web. É possível ver a lista de todos os proxies da Web ou apenas aqueles que estão disponíveis em uma rede específica.
Selecione o proxy da Web que você quer excluir.
Clique em Excluir.
Clique em Excluir novamente para confirmar.
Cloud Shell
gcloud network-services gateways delete swp1 \
--location=REGION
Excluir a regra allow-wikipedia-org
Console
No Google Cloud console, acesse a página Proxys da Web. É possível ver a lista de todos os proxies da Web ou apenas aqueles que estão disponíveis em uma rede específica.
Clique na sua política.
Selecione a regra que você quer excluir.
Clique em Excluir.
Clique em Excluir novamente para confirmar.
Cloud Shell
gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
--location=REGION \
--gateway-security-policy=policy1
Exclua a política do Secure Web Proxy policy1.
Console
No Google Cloud console, acesse a página Proxys da Web. É possível ver a lista de todos os proxies da Web ou apenas aqueles que estão disponíveis em uma rede específica.
Selecione a política que você quer excluir.
Clique em Excluir.
Clique em Excluir novamente para confirmar.
Cloud Shell
gcloud network-security gateway-security-policies delete policy1 \
--location=REGION
Exclua a instância de VM do Linux swp-test-vm.
Console
No Google Cloud console, acesse a página Instâncias de VM.
Selecione as instâncias que você quer excluir.
Clique em Excluir.
Cloud Shell
gcloud compute instances delete swp-test-vm