Esta página foi traduzida pela API Cloud Translation.

Implantar uma instância do Secure Web Proxy

Este guia de início rápido explica como implantar e testar uma instância de proxy seguro da Web.

As etapas descrevem a implantação do Proxy seguro da Web no modo de roteamento explícito, funcionando como um proxy explícito. As instâncias de proxy seguro da Web no modo de roteamento explícito podem ser publicadas como um serviço do Private Service Connect.

Também é possível implantar o Secure Web Proxy no modo de roteamento de próximo salto. Para mais informações, consulte Implantar o Secure Web Proxy como um próximo salto.

Antes de começar

Conclua as etapas de configuração inicial.
Opcional: instale a Google Cloud CLI em qualquer um dos ambientes de desenvolvimento a seguir se você quiser executar os exemplos de linha de comando gcloud especificados neste guia:
Cloud Shell
Para usar um terminal on-line com a CLI gcloud já configurada, ative o Cloud Shell:

No final desta página, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. A inicialização da sessão pode levar alguns segundos.

Observação: se você já instalou a CLI gcloud, verifique se você tem a versão mais recente disponível executando gcloud components update.
Shell local
Para usar um ambiente de desenvolvimento local, siga estas etapas:
1. Instale a CLI da gcloud.
2. Inicialize a CLI gcloud.
Crie ou selecione um Google Cloud projeto.

Observação: se você não pretende manter os recursos criados neste procedimento, crie um projeto novo em vez de selecionar um que já existe. Depois de concluir essas etapas, é possível excluir o projeto. Para fazer isso, basta remover todos os recursos associados a ele.
Console
No console Google Cloud , na página do seletor de projetos, selecione ou crie um Google Cloud projeto.

Acessar o seletor de projetos
Cloud Shell
- Crie um Google Cloud projeto:
  gcloud projects create PROJECT_ID
  Substitua PROJECT_ID pelo ID do projeto que você quer.
- Selecione o projeto Google Cloud que você criou:
  gcloud config set project PROJECT_ID
Crie uma instância de máquina virtual (VM) do Linux.
```
gcloud compute instances create swp-test-vm \
    --subnet=default \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11
```
Substitua ZONE pela zona da sua instância de VM de teste.

O Compute Engine concede ao usuário que cria a VM o papel de administrador de instâncias do Compute (roles/compute.instanceAdmin). O Compute Engine também adiciona esse usuário ao grupo sudo.

Crie uma regra de firewall.

gcloud compute firewall-rules create default-allow-ssh \
    --direction=INGRESS \
    --priority=1000 \
    --network=default \
    --action=ALLOW \
    --rules=tcp:22 \
    --source-ranges=0.0.0.0/0

Criar uma política do Secure Web Proxy

Console

No Google Cloud console, acesse a página Políticas do SWP.

Acessar as políticas do SWP
Clique em Criar uma política.
Insira um nome para a política que você quer criar, como policy1.
Insira uma descrição da política, como My new swp policy.
Na lista Regiões, selecione a região em que você quer criar a política de proxy da Web.
Se você quiser criar regras para a política, clique em Adicionar regra. Para mais informações, consulte a seção Criar regras do Secure Web Proxy.
Clique em Criar.

Cloud Shell

Crie o arquivo policy.yaml.
```
  description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
```
Observação: se você quiser criar uma política com a configuração de inspeção TLS, execute o procedimento descrito em Ativar a inspeção TLS.

Substitua:
- PROJECT_ID: o ID do projeto
- REGION: a região da política

Crie a política do Secure Web Proxy.

gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

Criar regras do Secure Web Proxy

Console

No Google Cloud console, acesse a página Políticas do SWP.

Acessar as políticas do SWP
Clique no nome da sua política.
Clique em Adicionar regra.
Preencha os seguintes campos da regra:
1. Nome
2. Descrição
3. Status
4. Prioridade: ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta.
5. Na seção Ação, especifique se as conexões que correspondem à regra são permitidas (Permitir) ou negadas (Negar).
6. Na seção Correspondência de sessão, especifique os critérios para corresponder à sessão. Para mais informações sobre a sintaxe de SessionMatcher, consulte a referência da linguagem do comparador CEL.
7. Opcional: se você quiser ativar a inspeção TLS, selecione Ativar inspeção TLS.
8. Na seção Correspondência do aplicativo, especifique os critérios para corresponder à solicitação. Se você não ativar a regra para a inspeção TLS, a solicitação só poderá corresponder ao tráfego HTTP.
  
  Para informações sobre como corresponder ao tráfego TCP, consulte Configurar regras de proxy TCP para seu aplicativo.
9. Clique em Criar.
Clique em Adicionar regra para adicionar outra regra.

Cloud Shell

Crie o arquivo rule.yaml, conforme mostrado aqui. Para mais informações sobre a sintaxe de SessionMatcher, consulte a referência da linguagem de correspondência do CEL.

name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'wikipedia.org'

Opcional: como alternativa, se você quiser criar uma regra com a configuração de inspeção de TLS, crie o arquivo rule.yaml conforme mostrado aqui.

Para informações sobre como corresponder ao tráfego TCP, consulte Configurar regras de proxy TCP para seu aplicativo.
```
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'wikipedia.org'
applicationMatcher: request.path.contains('index.html')
tlsInspectionEnabled: true
```
Substitua:
- PROJECT_ID: ID do projeto
- REGION: a região da política

Crie a regra da política de segurança.

gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
    --source=rule.yaml \
    --location=REGION \
    --gateway-security-policy=policy1

Configurar um proxy da Web

Esta seção explica como implantar o Secure Web Proxy no modo de roteamento explícito, funcionando como um proxy explícito.

Console

No console Google Cloud , acesse a página Proxys da Web.

Acesse "Proxies da Web"
Clique em Criar um proxy da Web seguro.
Insira um nome para o proxy da Web que você quer criar, como myswp.
Insira uma descrição do proxy da Web, como My new swp.
Em Modo de roteamento, selecione a opção Explícito.
Na lista Regiões, selecione a região em que você quer criar o proxy da Web.
Na lista Rede, selecione a rede em que você quer criar o proxy da Web.
Na lista Sub-rede, selecione a sub-rede em que você quer criar o proxy da Web.
Opcional: insira o endereço IP do Secure Web Proxy. É possível inserir um endereço IP do intervalo de endereços IP do proxy da Web seguro que residem na sub-rede criada na etapa anterior. Se você não inserir o endereço IP, a instância do Secure Web Proxy vai escolher automaticamente um endereço IP da sub-rede selecionada.
Na lista Certificado, selecione o certificado que você quer usar para criar o proxy da Web.
Na lista Política, selecione a política que você criou para associar ao proxy da Web.
Clique em Criar.

Cloud Shell

Crie o arquivo gateway.yaml.

name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: EXPLICIT_ROUTING_MODE

Substitua:

PROJECT_ID: o ID do projeto
REGION: a região da sua instância do Proxy seguro da Web
IP_ADDRESS: o endereço IP da sua instância do Secure Web Proxy
NETWORK: a rede da sua instância do Proxy seguro da Web
SUBNETWORK: a sub-rede da sua instância do Proxy seguro da Web

Crie uma instância do Secure Web Proxy com base em gateway.yaml.
```
gcloud network-services gateways import swp1 \
    --source=gateway.yaml \
    --location=REGION
```
A implantação de uma instância do proxy seguro da Web pode levar vários minutos.

testar a conectividade

Conecte-se à VM que você provisionou anteriormente.
```
gcloud compute ssh swp-test-vm \
    --zone=ZONE
```
Substitua ZONE pela zona da sua instância de VM de teste.
Teste a instância do Secure Web Proxy.
```
curl -x IP_ADDRESS
```
Substitua IP_ADDRESS pelo endereço IP da sua instância do Secure Web Proxy.

Limpar

Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga estas etapas.

Exclua a instância do Secure Web Proxy `swp1`.

Console

No console Google Cloud , acesse a página Proxys da Web. É possível ver a lista de todos os proxies da Web ou apenas aqueles que estão disponíveis em uma rede específica.

Acesse "Proxies da Web"
Selecione o proxy da Web que você quer excluir.
Clique em Excluir.
Clique em Excluir novamente para confirmar.

Cloud Shell

gcloud network-services gateways delete swp1 \
    --location=REGION

Substitua REGION pela região da sua instância do Secure Web Proxy.

Excluir a regra `allow-wikipedia-org`

Console

No console Google Cloud , acesse a página Proxys da Web. É possível ver a lista de todos os proxies da Web ou apenas aqueles que estão disponíveis em uma rede específica.

Acesse "Proxies da Web"
Clique na sua política.
Selecione a regra que você quer excluir.
Clique em Excluir.
Clique em Excluir novamente para confirmar.

Cloud Shell

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Substitua REGION pela região da sua política.

Exclua a política do Secure Web Proxy `policy1`.

Console

No console Google Cloud , acesse a página Proxys da Web. É possível ver a lista de todos os proxies da Web ou apenas aqueles que estão disponíveis em uma rede específica.

Acesse "Proxies da Web"
Selecione a política que você quer excluir.
Clique em Excluir.
Clique em Excluir novamente para confirmar.

Cloud Shell

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Substitua REGION pela região da sua política.

Exclua a instância de VM do Linux `swp-test-vm`.

Console

No Google Cloud console, acesse a página Instâncias de VM:

Acessar instâncias de VM
Selecione as instâncias que você quer excluir.
Clique em Excluir.

Cloud Shell

gcloud compute instances delete swp-test-vm

Implantar uma instância do Secure Web Proxy

Antes de começar

Cloud Shell

Shell local

Console

Cloud Shell

Criar uma política do Secure Web Proxy

Console

Cloud Shell

Criar regras do Secure Web Proxy

Console

Cloud Shell

Configurar um proxy da Web

Console

Cloud Shell

testar a conectividade

Limpar

Exclua a instância do Secure Web Proxy swp1.

Console

Cloud Shell

Excluir a regra allow-wikipedia-org

Console

Cloud Shell

Exclua a política do Secure Web Proxy policy1.

Console

Cloud Shell

Exclua a instância de VM do Linux swp-test-vm.

Console

Cloud Shell

A seguir

Exclua a instância do Secure Web Proxy `swp1`.

Excluir a regra `allow-wikipedia-org`

Exclua a política do Secure Web Proxy `policy1`.

Exclua a instância de VM do Linux `swp-test-vm`.