Secure Web Proxy-Instanz bereitstellen

In dieser Kurzanleitung wird beschrieben, wie Sie eine Secure Web Proxy-Instanz bereitstellen und testen.

In den Schritten wird die Bereitstellung von Secure Web Proxy im expliziten Routingmodus beschrieben, der als expliziter Proxy fungiert. Secure Web Proxy-Instanzen im expliziten Routingmodus können als Private Service Connect-Dienst veröffentlicht werden.

Alternativ können Sie Secure Web Proxy im Routingmodus „Next Hop“ bereitstellen. Weitere Informationen finden Sie unter Secure Web Proxy als nächsten Hop bereitstellen.

Hinweise

  1. Führen Sie die Schritte zur Ersteinrichtung aus.

  2. Optional: Installieren Sie die Google Cloud CLI in einer der folgenden Entwicklungsumgebungen, wenn Sie die in dieser Anleitung angegebenen gcloud-Befehlszeilenbeispiele ausführen möchten:

    Cloud Shell

    Wenn Sie ein Onlineterminal mit bereits eingerichteter gcloud CLI verwenden möchten, aktivieren Sie Cloud Shell:

    Am Ende dieser Seite wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Das Initialisieren der Sitzung kann einige Sekunden dauern.

    Lokale Shell

    So verwenden Sie eine lokale Entwicklungsumgebung:

    1. Installieren Sie das gcloud-CLI.
    2. Initialisieren Sie die gcloud CLI.

  3. Erstellen Sie ein Google Cloud Projekt oder wählen Sie eines aus.

    Konsole

    Wählen Sie in der Google Cloud Console auf der Seite für die Projektauswahl ein Google Cloud -Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

    Cloud Shell

    • So erstellen Sie ein Google Cloud -Projekt:

      gcloud projects create PROJECT_ID

      Ersetzen Sie PROJECT_ID durch die gewünschte Projekt-ID.

    • Wählen Sie das von Ihnen erstellte Google Cloud Projekt aus:

      gcloud config set project PROJECT_ID

  4. Eine Linux-VM-Instanz erstellen

    gcloud compute instances create swp-test-vm \
    --subnet=default \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11

    Ersetzen Sie ZONE durch die Zone Ihrer Test-VM-Instanz.

    Compute Engine gewährt dem Nutzer, der die VM erstellt, die Rolle „Compute-Instanzadministrator“ (roles/compute.instanceAdmin). Compute Engine fügt diesen Nutzer auch der Sudo-Gruppe hinzu.

  5. Erstellen Sie eine Firewallregel.

    gcloud compute firewall-rules create default-allow-ssh \
    --direction=INGRESS \
    --priority=1000 \
    --network=default \
    --action=ALLOW \
    --rules=tcp:22 \
    --source-ranges=0.0.0.0/0

Secure Web Proxy-Richtlinie erstellen

Konsole

  1. Rufen Sie in der Google Cloud Console die Seite SWP-Richtlinien auf.

    Zu den Richtlinien zum Löschen von Dienstdaten

  2. Klicken Sie auf Richtlinie erstellen.

  3. Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, z. B. policy1.

  4. Geben Sie eine Beschreibung der Richtlinie ein, z. B. My new swp policy.

  5. Wählen Sie in der Liste Regionen die Region aus, in der Sie die Webproxyrichtlinie erstellen möchten.

  6. Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Regel hinzufügen. Weitere Informationen finden Sie im Abschnitt Secure Web Proxy-Regeln erstellen.

  7. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie die Datei policy.yaml.

      description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Projekt-ID Ihres Projekts
    • REGION: die Region Ihrer Richtlinie

  2. Erstellen Sie die Richtlinie für den sicheren Web-Proxy.

    gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

Secure Web Proxy-Regeln erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite SWP-Richtlinien auf.

    Zu den Richtlinien zum Löschen von Dienstdaten

  2. Klicken Sie auf den Namen Ihrer Richtlinie.

  3. Klicken Sie auf Regel hinzufügen.

  4. Füllen Sie die folgenden Regelfelder aus:

    1. Name
    2. Beschreibung
    3. Status
    4. Priorität: die numerische Auswertungsreihenfolge der Regel. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist.
    5. Geben Sie im Abschnitt Aktion an, ob Verbindungen, die der Regel entsprechen, zugelassen (Zulassen) oder abgelehnt (Ablehnen) werden sollen.
    6. Geben Sie im Abschnitt Session Match die Kriterien für den Abgleich der Sitzung an. Weitere Informationen zur Syntax für SessionMatcher finden Sie in der CEL-Matcher-Sprachreferenz.
    7. Optional: Wenn Sie die TLS-Prüfung aktivieren möchten, wählen Sie TLS-Prüfung aktivieren aus.

    8. Geben Sie im Bereich Application Match (Anwendungsabgleich) die Kriterien für den Abgleich der Anfrage an. Wenn Sie die Regel nicht für die TLS-Prüfung aktivieren, kann die Anfrage nur mit HTTP-Traffic übereinstimmen.

      Informationen zum Abgleichen von TPC-Traffic finden Sie unter TCP-Proxy-Regeln für Ihre Anwendung konfigurieren.

    9. Klicken Sie auf Erstellen.

  5. Klicken Sie auf Regel hinzufügen, um eine weitere Regel hinzuzufügen.

Cloud Shell

  1. Erstellen Sie die Datei rule.yaml wie hier gezeigt. Weitere Informationen zur Syntax für SessionMatcher finden Sie in der CEL-Matcher-Sprachreferenz.

    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'www.wikipedia.org'

    • Optional: Wenn Sie stattdessen eine Regel mit der TLS-Prüfungskonfiguration erstellen möchten, erstellen Sie die Datei rule.yaml wie hier gezeigt.

      Informationen zum Abgleichen von TPC-Traffic finden Sie unter TCP-Proxy-Regeln für Ihre Anwendung konfigurieren.

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'www.wikipedia.org'
applicationMatcher: request.path.contains('index.html')
tlsInspectionEnabled: true

      Ersetzen Sie Folgendes:

      • PROJECT_ID: die Projekt-ID
      • REGION: die Region Ihrer Richtlinie

  2. Erstellen Sie die Regel für die Sicherheitsrichtlinie.

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
    --source=rule.yaml \
    --location=REGION \
    --gateway-security-policy=policy1

Web-Proxy einrichten

In diesem Abschnitt wird beschrieben, wie Sie Secure Web Proxy im expliziten Routingmodus als expliziten Proxy bereitstellen.

Console

  1. Rufen Sie in der Google Cloud -Console die Seite Web-Proxys auf.

    Zu Web-Proxys

  2. Klicken Sie auf Sicheren Web-Proxy erstellen.

  3. Geben Sie einen Namen für den Webproxy ein, den Sie erstellen möchten, z. B. myswp.

  4. Geben Sie eine Beschreibung des Webproxys ein, z. B. My new swp.

  5. Wählen Sie für Routing-Modus die Option Explizit aus.

  6. Wählen Sie in der Liste Regionen die Region aus, in der Sie den Webproxy erstellen möchten.

  7. Wählen Sie in der Liste Netzwerk das Netzwerk aus, in dem Sie den Webproxy erstellen möchten.

  8. Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, in dem Sie den Webproxy erstellen möchten.

  9. Optional: Geben Sie die IP-Adresse des Secure Web Proxy ein. Sie können eine IP-Adresse aus dem Bereich der Secure Web Proxy-IP-Adressen eingeben, die sich im Subnetz befinden, das Sie im vorherigen Schritt erstellt haben. Wenn Sie die IP-Adresse nicht eingeben, wählt Ihre Secure Web Proxy-Instanz automatisch eine IP-Adresse aus dem ausgewählten Subnetzwerk aus.

  10. Wählen Sie in der Liste Zertifikat das Zertifikat aus, das Sie zum Erstellen des Webproxys verwenden möchten.

  11. Wählen Sie in der Liste Richtlinie die Richtlinie aus, die Sie zum Verknüpfen des Webproxys erstellt haben.

  12. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie die Datei gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: EXPLICIT_ROUTING_MODE

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Projekt-ID Ihres Projekts
    • REGION: die Region Ihrer Secure Web Proxy-Instanz
    • IP_ADDRESS: Die IP-Adresse Ihrer Secure Web Proxy-Instanz
    • NETWORK: das Netzwerk Ihrer Secure Web Proxy-Instanz
    • SUBNETWORK: das Subnetzwerk Ihrer Secure Web Proxy-Instanz

  2. Erstellen Sie eine Secure Web Proxy-Instanz basierend auf gateway.yaml.

    gcloud network-services gateways import swp1 \
    --source=gateway.yaml \
    --location=REGION

    Die Bereitstellung einer Secure Web Proxy-Instanz kann einige Minuten dauern.

Verbindung testen

  1. Stellen Sie eine Verbindung zur VM her, die Sie zuvor bereitgestellt haben.

    gcloud compute ssh swp-test-vm \
    --zone=ZONE

    Ersetzen Sie ZONE durch die Zone Ihrer Test-VM-Instanz.

  2. Testen Sie die Secure Web Proxy-Instanz.

    curl -s -o /dev/null -w "%{http_code}\\n" -x IP_ADDRESS:443 https://www.wikipedia.org

    Ersetzen Sie IP_ADDRESS durch die IP-Adresse Ihrer Secure Web Proxy-Instanz. Mit diesem Befehl wird der HTTP-Statuscode ausgegeben, der von www.wikipedia.org zurückgegeben wird. Wenn der Befehl erfolgreich ausgeführt wird, ist der Statuscode 200. Wenn jedoch ein Problem mit dem Proxy vorliegt, gibt der Befehl den Statuscode 000 zurück, um einen Verbindungsfehler anzugeben. Wenn Sie die detaillierten Fehlermeldungen aufrufen möchten, fügen Sie dem Befehl die Option -v hinzu.

Bereinigen

Mit den folgenden Schritten vermeiden Sie, dass Ihrem Google Cloud -Konto die auf dieser Seite verwendeten Ressourcen in Rechnung gestellt werden:

swp1-Instanz von Secure Web Proxy löschen

Console

  1. Rufen Sie in der Google Cloud -Console die Seite Web-Proxys auf. Sie können sich die Liste aller Webproxys oder nur der Webproxys ansehen, die in einem bestimmten Netzwerk verfügbar sind.

    Zu Web-Proxys

  2. Wählen Sie den Webproxy aus, den Sie löschen möchten.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie zum Bestätigen noch einmal auf Löschen.

Cloud Shell 

gcloud network-services gateways delete swp1 \
    --location=REGION

Ersetzen Sie REGION durch die Region Ihrer Secure Web Proxy-Instanz.

allow-wikipedia-org-Regel löschen

Console

  1. Rufen Sie in der Google Cloud -Console die Seite Web-Proxys auf. Sie können sich die Liste aller Webproxys oder nur der Webproxys ansehen, die in einem bestimmten Netzwerk verfügbar sind.

    Zu Web-Proxys

  2. Klicken Sie auf die Richtlinie.

  3. Wählen Sie die Regel aus, die Sie löschen möchten.

  4. Klicken Sie auf Löschen.

  5. Klicken Sie zum Bestätigen noch einmal auf Löschen.

Cloud Shell 

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Ersetzen Sie REGION durch die Region Ihrer Richtlinie.

policy1-Richtlinie für den sicheren Web-Proxy löschen

Console

  1. Rufen Sie in der Google Cloud -Console die Seite Web-Proxys auf. Sie können sich die Liste aller Webproxys oder nur der Webproxys ansehen, die in einem bestimmten Netzwerk verfügbar sind.

    Zu Web-Proxys

  2. Wählen Sie die Richtlinie aus, die Sie löschen möchten.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie zum Bestätigen noch einmal auf Löschen.

Cloud Shell 

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Ersetzen Sie REGION durch die Region Ihrer Richtlinie.

swp-test-vm-Linux-VM-Instanz löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:

    Zu "VM-Instanzen"

  2. Wählen Sie die Instanzen aus, die Sie löschen möchten.

  3. Klicken Sie auf Löschen.

Cloud Shell 

gcloud compute instances delete swp-test-vm

Nächste Schritte