Las etiquetas de Resource Manager controlan el acceso a tus recursos Google Cloud . Las etiquetas de Resource Manager te permiten organizar tus Google Cloud recursos y permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Puede usar etiquetas de Resource Manager para etiquetar cada instancia de máquina virtual por segmento y tipo de servicio. Las etiquetas de administrador de recursos te permiten identificar de forma única los hosts al crear políticas de proxy web seguro.
En esta guía se explica cómo hacer lo siguiente:
- Crea una instancia de proxy web seguro con una política vacía.
- Crea y aplica etiquetas de Resource Manager a instancias de VM.
- Usa etiquetas de Resource Manager para crear una política de proxy web seguro.
- Crea una instancia de proxy web seguro.
- Prueba la conectividad desde tus VMs.
Antes de empezar
Completa los pasos de configuración inicial.
Pide a un administrador de la organización que te conceda el rol necesario para crear y actualizar etiquetas.
Comprueba que tienes instalada la versión 406.0.0 o una posterior de la CLI de Google Cloud:
gcloud version | head -n1Si tienes instalada una versión anterior de la CLI de gcloud, actualízala:
gcloud components update --version=406.0.0
Crear una instancia de proxy web seguro con una política vacía
Para crear una instancia de proxy web seguro, primero crea una política de seguridad vacía y, a continuación, crea un proxy web.
Crear una política de seguridad vacía
Consola
En la Google Cloud consola, ve a la página Políticas de SWP.
Haz clic en Crear una política.
Introduce el nombre de la política que quieras crear, como
myswppolicy.Introduce una descripción de la política, como
My new swp policy.En la lista Regiones, selecciona la región en la que quieras crear la política.
Haz clic en Crear.
Cloud Shell
Usa el editor de texto que prefieras para crear el archivo
POLICY_FILE.yaml. SustituyePOLICY_FILEpor el nombre que quieras darle al archivo de la política.Añade lo siguiente al archivo YAML que has creado:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME description: POLICY_DESCRIPTIONHaz los cambios siguientes:
PROJECT_NAME: el nombre de tu proyectoREGION: la región a la que se aplica esta políticaPOLICY_NAME: el nombre de la política que vas a crearPOLICY_DESCRIPTION: la descripción de la política que vas a crear
Importa la política de seguridad:
gcloud network-security gateway-security-policies import POLICY_NAME \ --source=POLICY_FILE.yaml \ --location=REGION
Crear un proxy web
Consola
En la Google Cloud consola, ve a la página Proxies web.
Haz clic en Crear un proxy web seguro.
Introduce el nombre del proxy web que quieras crear, como
myswp.Introduce una descripción del proxy web, como
My new swp.En la lista Regiones, selecciona la región en la que quieras crear el proxy web.
En la lista Red, selecciona la red en la que quieras crear el proxy web.
En la lista Subred, selecciona la subred en la que quieras crear el proxy web.
Opcional: Introduce la dirección IP del proxy web seguro. Puedes introducir una dirección IP del intervalo de direcciones IP de Secure Web Proxy que se encuentre en la subred que has creado en el paso anterior. Si no introduces la dirección IP, tu instancia de Secure Web Proxy elegirá automáticamente una dirección IP de la subred seleccionada.
En la lista Certificado, selecciona el certificado que quieras usar para crear el proxy web.
En la lista Política, seleccione la política que ha creado para asociar el proxy web.
Haz clic en Crear.
Cloud Shell
Usa el editor de texto que prefieras para crear el archivo
GATEWAY_FILE.yaml. SustituyeGATEWAY_FILEpor el nombre de archivo que quieras para el archivo de proxy web.Añade lo siguiente al archivo YAML que has creado:
name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME type: SECURE_WEB_GATEWAY ports: [GATEWAY_PORT_NUMBERS] certificateUrls: [CERTIFICATE_URLS] gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME network: projects/PROJECT_NAME/global/networks/NETWORK_NAME subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME addresses: [GATEWAY_IP_ADDRESS] scope: samplescopeHaz los cambios siguientes:
GATEWAY_NAME: el nombre de esta instanciaGATEWAY_PORT_NUMBERS: una lista de números de puerto de esta pasarela, como[80,443]CERTIFICATE_URLS: una lista de URLs de certificados SSLSUBNET_NAME: el nombre de la subred que contieneGATEWAY_IP_ADDRESSGATEWAY_IP_ADDRESS: una lista opcional de direcciones IP de tus instancias de Secure Web Proxy en las subredes de proxy que has creado anteriormente en los pasos de configuración inicialSi decides no incluir direcciones IP, omite el campo para que el proxy web elija una dirección IP por ti.
Crea una instancia de proxy web seguro:
gcloud network-services gateways import GATEWAY_NAME \ --source=GATEWAY_FILE.yaml \ --location=REGION
Probar la conectividad
Para probar la conectividad, usa el comando curl desde cualquier VM de tu red de nube privada virtual (VPC):
curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
Se espera un error 403 Forbidden.
Crear y adjuntar etiquetas de Resource Manager
Para crear y adjuntar etiquetas de Resource Manager, sigue estos pasos:
Crea las claves y los valores de la etiqueta.
Cuando cree una etiqueta, debe asignarle un
GCE_FIREWALLpropósitoGoogle Cloud . Las funciones de red, incluido el proxy web seguro, requieren que se le asigne unGCE_FIREWALLpropósitoGoogle Cloud para aplicar la etiqueta. Sin embargo, puedes usar la etiqueta para otras acciones.
Crear reglas de Secure Web Proxy
Para crear reglas de proxy web seguro, sigue estos pasos:
Usa el editor de texto que prefieras para crear un archivo
RULE_FILE.yaml. SustituyeRULE_FILEpor el nombre de archivo que elijas.Para permitir el acceso a una URL desde la etiqueta elegida, añade lo siguiente al archivo YAML:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME description: RULE_DESCRIPTION enabled: true priority: RULE_PRIORITY sessionMatcher: CEL_EXPRESSION basicProfile: ALLOWHaz los cambios siguientes:
RULE_NAME: nombre de esta reglaRULE_DESCRIPTION: una descripción de la regla que vas a crearRULE_PRIORITY: la prioridad de esta regla. Un número más bajo corresponde a una prioridad más alta.CEL_EXPRESSION: una expresión de lenguaje de expresión común (CEL)Para obtener más información, consulta la referencia del lenguaje del buscador de coincidencias de CEL.
Por ejemplo, para permitir el acceso a
example.comdesde la etiqueta que quieras, añade lo siguiente al archivo YAML que has creado parasessionMatcher:sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"Sustituye
TAG_VALUEpor la etiqueta que quieras permitir, con el formatotagValues/1234.Importa las reglas que has creado:
gcloud network-security gateway-security-policies rules import RULE_NAME \ --source=RULE_FILE.yaml \ --location=REGION \ --gateway-security-policy=POLICY_NAME
Probar la conectividad
Para probar la conectividad, usa el comando curl desde cualquier VM asociada a la etiqueta TAG_VALUE:
curl -x https://IPv4_ADDRESS:443 http://example.com
--proxy-insecure
Sustituye IPv4_ADDRESS por la dirección IPv4 de tu instancia de proxy web seguro.
Siguientes pasos
- Usar una lista de URLs para crear políticas
- Asignar direcciones IP estáticas para el tráfico de salida