As tags do Resource Manager ajudam a controlar aos recursos do Google Cloud. Com as tags do Resource Manager, você pode organizar seus recursos do Google Cloud e permitir ou negar políticas condicionalmente, dependendo se um recurso tem uma tag específica. É possível usar as tags do Resource Manager para marque cada instância de máquina virtual (VM) por segmento e tipo de serviço. As tags do Resource Manager permitem você identifica exclusivamente os hosts ao criar as políticas do Secure Web Proxy.
Neste guia, você aprende as seguintes ações com relação à verificação de tempo de atividade:
- Crie uma instância do Secure Web Proxy com uma política vazia.
- Criar e aplicar tags do Resource Manager a instâncias de VM.
- Usar tags do Resource Manager para criar uma política do Secure Web Proxy.
- Criar uma instância do Secure Web Proxy.
- Teste a conectividade das suas VMs.
Recursos compatíveis
O Secure Web Proxy dá suporte à filtragem segura de tráfego baseada em tags Instâncias de VM e nós do GKE, mas não contêineres do GKE. Cada um dos os recursos com suporte também têm visibilidade em todos os projetos (VPC compartilhada), nos limites da nuvem privada virtual (VPC) (Network Connectivity Center), peering de rede VPC) e no Private Service Connect saltos. No acesso VPC sem servidor, as tags seguras não estão disponíveis para paragens diretas ou aplicativos conectados à VPC. Para esses aplicativos, use o endereço IP de origem do conector da VPC, porque ele é usado apenas no ambiente sem servidor.
Antes de começar
Conclua a configuração inicial etapas.
Peça a um administrador da organização para conceder a você o papel necessário para criar e atualize as tags.
Verifique se você tem a versão 406.0.0 ou mais recente do Google Cloud CLI instalada:
gcloud version | head -n1
Se você tiver uma versão anterior da gcloud CLI instalada, atualize a versão:
gcloud components update --version=406.0.0
Criar uma instância do Secure Web Proxy com uma política vazia
Para criar uma instância do Secure Web Proxy, primeiro crie uma política de segurança vazia e, em seguida, criar um proxy da Web.
Criar uma política de segurança vazia
Console
No Console do Google Cloud, acesse a página Segurança de rede.
Clique em Proxy seguro da Web.
Clique na guia Políticas.
Clique em Criar uma política.
Digite um nome para a política que você quer criar. como
myswppolicy
.Insira uma descrição para a política, como
My new swp policy
:Na lista Regiões, selecione a região em que você quer criar a política.
Clique em Criar.
Cloud Shell
Use o editor de texto de sua preferência para criar o arquivo
POLICY_FILE
.yaml. SubstituirPOLICY_FILE
pelo nome de arquivo que que você quer para o arquivo de política.Adicione o seguinte ao arquivo YAML que você criou:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME description: POLICY_DESCRIPTION
Substitua:
PROJECT_NAME
: o nome do projeto.REGION
: a região a que esta política se aplica.POLICY_NAME
: o nome da política que você está criandoPOLICY_DESCRIPTION
: a descrição do que você está criando
Importe a política de segurança:
gcloud network-security gateway-security-policies import POLICY_NAME \ --source=POLICY_FILE.yaml \ --location=REGION
Criar um proxy da Web
Console
No Console do Google Cloud, acesse a página Segurança de rede.
Clique em Secure Web Proxy.
Clique em Configurar um proxy da Web.
Digite um nome para o proxy da Web que você quer criar. como
myswp
.Insira uma descrição do proxy da Web, como
My new swp
.Na lista Regiões, selecione uma região para criar o proxy da Web.
Na lista Rede, selecione a rede em que você quer criar o proxy da Web.
Na lista Sub-rede, selecione a sub-rede em que você quer criar o proxy da Web.
Digite o endereço IP do proxy da Web.
Na lista Certificado, selecione o certificado que você quer usar para criar o proxy da Web.
Na lista Política, selecione a opção que você criou. para associar ao proxy da Web.
Clique em Criar.
Cloud Shell
Use o editor de texto de sua preferência para criar o arquivo
GATEWAY_FILE
.yaml. SubstituirGATEWAY_FILE
pelo nome de arquivo que você quer; o arquivo proxy da Web.Adicione o seguinte ao arquivo YAML que você criou:
name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME type: SECURE_WEB_GATEWAY ports: [GATEWAY_PORT_NUMBERS] certificateUrls: [CERTIFICATE_URLS] gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME network: projects/PROJECT_NAME/global/networks/NETWORK_NAME subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME addresses: [GATEWAY_IP_ADDRESS] scope: samplescope
Substitua:
GATEWAY_NAME
: o nome da instância.GATEWAY_PORT_NUMBERS
: uma lista de números de porta para esse gateway, como[80,443]
CERTIFICATE_URLS
: uma lista de certificados SSL URLsSUBNET_NAME
: o nome da sub-rede que contémGATEWAY_IP_ADDRESS
GATEWAY_IP_ADDRESS
: uma lista opcional de IPs para as instâncias do Secure Web Proxy dentro do proxy sub-redes criadas anteriormente etapas iniciais de configuraçãoSe você não quiser listar os endereços IP, omita o campo para que o proxy da Web escolha um endereço IP para você.
Crie uma instância do Secure Web Proxy:
gcloud network-services gateways import GATEWAY_NAME \ --source=GATEWAY_FILE.yaml \ --location=REGION
testar a conectividade
Para testar a conectividade, use o comando curl
de qualquer VM na sua
Rede de nuvem privada virtual (VPC):
curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
Um erro 403 Forbidden
é esperado.
Criar e anexar tags do Resource Manager
Para criar e anexar tags do Gerenciador de recursos, faça o seguinte:
Crie as chaves e os valores de tag.
Ao criar sua tag, defina-a com a finalidade
GCE_FIREWALL
. Os recursos de rede do Google Cloud, incluindo o proxy da Web seguro, exigem a finalidadeGCE_FIREWALL
para aplicar a tag. No entanto, você pode usar a tag para outras ações.
Criar regras do Secure Web Proxy
Para criar regras do Secure Web Proxy, faça o seguinte:
Use seu editor de texto preferido para criar
RULE_FILE
.yaml. SubstituirRULE_FILE
pelo nome de arquivo escolhido.Para permitir o acesso a um URL da tag escolhida, adicione o seguinte ao YAML arquivo:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME description: RULE_DESCRIPTION enabled: true priority: RULE_PRIORITY sessionMatcher: CEL_EXPRESSION basicProfile: ALLOW
Substitua:
RULE_NAME
: um nome para esta regra.RULE_DESCRIPTION
: uma descrição para o que você está criandoRULE_PRIORITY
: a prioridade da regra. um número menor corresponde a uma prioridade mais altaCEL_EXPRESSION
: uma expressão da linguagem de expressão comum (CEL)Para mais informações, consulte matcher de CEL do idioma de referência.
Por exemplo, para permitir o acesso a
example.com
pela tag desejada, adicione o seguinte ao arquivo YAML criado para osessionMatcher
:sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"
Substitua
TAG_VALUE
pela tag que você quer permitir, da formatagValues/1234
.Importe as regras que você criou:
gcloud network-security gateway-security-policies rules import RULE_NAME \ --source=RULE_FILE.yaml \ --location=REGION \ --gateway-security-policy=POLICY_NAME
testar a conectividade
Para testar a conectividade, use o comando curl
de qualquer VM associada
com a tag TAG_VALUE
:
curl -x https://IPv4_ADDRESS:443 http://example.com
--proxy-insecure
Substitua IPv4_ADDRESS
pelo endereço IPv4 da sua
instância do Secure Web Proxy.