Déployer une instance Secure Web Proxy
Ce guide de démarrage rapide explique comment déployer et tester une instance de proxy Web sécurisé.
Les étapes décrivent le déploiement de Secure Web Proxy en mode de routage explicite, fonctionnant comme un proxy explicite. Les instances de proxy Web sécurisé en mode de routage explicite peuvent être publiées en tant que service Private Service Connect.
Vous pouvez également déployer le proxy Web sécurisé en mode de routage du prochain saut. Pour en savoir plus, consultez Déployer Secure Web Proxy comme prochain saut.
Avant de commencer
Suivez les étapes de configuration initiale.
Facultatif : Installez Google Cloud CLI dans l'un des environnements de développement suivants si vous souhaitez exécuter les exemples de ligne de commande
gcloud
spécifiés dans ce guide :Cloud Shell
Pour utiliser un terminal en ligne avec la gcloud CLI déjà configurée, activez Cloud Shell :
En bas de la page, une session Cloud Shell démarre et affiche une invite de ligne de commande. L'initialisation de la session peut prendre quelques secondes.
Shell local
Pour utiliser un environnement de développement local, procédez comme suit :
Créez ou sélectionnez un Google Cloud projet.
Console
Dans la console Google Cloud , sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud .
Cloud Shell
Créez un projet : Google Cloud
gcloud projects create PROJECT_ID
Remplacez
PROJECT_ID
par l'ID du projet de votre choix.Sélectionnez le projet Google Cloud que vous avez créé :
gcloud config set project PROJECT_ID
créer une instance de machine virtuelle (VM) Linux ;
gcloud compute instances create swp-test-vm \ --subnet=default \ --zone=ZONE \ --image-project=debian-cloud \ --image-family=debian-11
Remplacez
ZONE
par la zone de votre instance de VM de test.Compute Engine attribue le rôle Administrateur d'instance Compute (
roles/compute.instanceAdmin
) à l'utilisateur qui crée la VM et l'ajoute également au groupe sudo.Créez une règle de pare-feu.
gcloud compute firewall-rules create default-allow-ssh \ --direction=INGRESS \ --priority=1000 \ --network=default \ --action=ALLOW \ --rules=tcp:22 \ --source-ranges=0.0.0.0/0
Créer une règle de proxy Web sécurisé
Console
Dans la console Google Cloud , accédez à la page Règles SWP.
Cliquez sur
Créer une règle.Saisissez le nom de la règle que vous souhaitez créer, par exemple
policy1
.Saisissez une description de la règle, par exemple
My new swp policy
.Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer la règle de proxy Web.
Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Ajouter une règle. Pour en savoir plus, consultez la section Créer des règles de proxy Web sécurisé.
Cliquez sur Créer.
Cloud Shell
Créez le fichier
policy.yaml
.description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
Remplacez les éléments suivants :
PROJECT_ID
: ID de votre projetREGION
: région de votre règle
Créez la règle de proxy Web sécurisé.
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION
Créer des règles de proxy Web sécurisé
Console
Dans la console Google Cloud , accédez à la page Règles SWP.
Cliquez sur le nom de votre stratégie.
Cliquez sur
Ajouter une règle.Renseignez les champs de règle suivants :
- Nom
- Description
- Status
- Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
0
correspond à la priorité la plus élevée. - Dans la section Action, indiquez si les connexions correspondant à la règle sont autorisées (Autoriser) ou refusées (Refuser).
- Dans la section Correspondance de la session, spécifiez les critères de correspondance de la session. Pour en savoir plus sur la syntaxe de
SessionMatcher
, consultez la documentation de référence sur le langage de correspondance CEL. - Facultatif : Si vous souhaitez activer l'inspection TLS, sélectionnez Activer l'inspection TLS.
Dans la section Correspondance de l'application, spécifiez les critères de correspondance de la requête. Si vous n'activez pas la règle pour l'inspection TLS, la requête ne peut correspondre qu'au trafic HTTP.
Pour en savoir plus sur la mise en correspondance du trafic TCP, consultez Configurer des règles de proxy TCP pour votre application.
Cliquez sur Créer.
Cliquez sur Ajouter une règle pour ajouter une règle.
Cloud Shell
Créez le fichier
rule.yaml
comme indiqué ici. Pour en savoir plus sur la syntaxe deSessionMatcher
, consultez la documentation de référence sur le langage de correspondance CEL.name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org description: Allow wikipedia.org enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'www.wikipedia.org'
Facultatif : Si vous souhaitez créer une règle avec la configuration d'inspection TLS, créez le fichier
rule.yaml
comme indiqué ici.Pour en savoir plus sur la mise en correspondance du trafic TCP, consultez Configurer des règles de proxy TCP pour votre application.
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org description: Allow wikipedia.org enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'www.wikipedia.org' applicationMatcher: request.path.contains('index.html') tlsInspectionEnabled: true
Remplacez les éléments suivants :
PROJECT_ID
: ID de votre projetREGION
: région de votre règle
Créez la règle de stratégie de sécurité.
gcloud network-security gateway-security-policies rules import allow-wikipedia-org \ --source=rule.yaml \ --location=REGION \ --gateway-security-policy=policy1
Configurer un proxy Web
Cette section explique comment déployer Secure Web Proxy en mode de routage explicite, en tant que proxy explicite.
Console
Dans la console Google Cloud , accédez à la page Proxys Web.
Cliquez sur
Créer un proxy Web sécurisé.Saisissez un nom pour le proxy Web que vous souhaitez créer, par exemple
myswp
.Saisissez une description du proxy Web, par exemple
My new swp
.Pour Mode de routage, sélectionnez l'option Explicite.
Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer le proxy Web.
Dans la liste Réseau, sélectionnez le réseau dans lequel vous souhaitez créer le proxy Web.
Dans la liste Sous-réseau, sélectionnez le sous-réseau dans lequel vous souhaitez créer le proxy Web.
Facultatif : Saisissez l'adresse IP du proxy Web sécurisé. Vous pouvez saisir une adresse IP de la plage d'adresses IP du proxy Web sécurisé qui se trouve dans le sous-réseau que vous avez créé à l'étape précédente. Si vous ne saisissez pas l'adresse IP, votre instance Secure Web Proxy choisit automatiquement une adresse IP dans le sous-réseau sélectionné.
Dans la liste Certificat, sélectionnez le certificat que vous souhaitez utiliser pour créer le proxy Web.
Dans la liste Règle, sélectionnez la règle que vous avez créée pour associer le proxy Web.
Cliquez sur Créer.
Cloud Shell
Créez le fichier
gateway.yaml
.name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/NETWORK subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK routingMode: EXPLICIT_ROUTING_MODE
Remplacez les éléments suivants :
PROJECT_ID
: ID de votre projetREGION
: région de votre instance Secure Web ProxyIP_ADDRESS
: adresse IP de votre instance Secure Web ProxyNETWORK
: réseau de votre instance de proxy Web sécuriséSUBNETWORK
: sous-réseau de votre instance de proxy Web sécurisé
Créez une instance de proxy Web sécurisé basée sur
gateway.yaml
.gcloud network-services gateways import swp1 \ --source=gateway.yaml \ --location=REGION
Le déploiement d'une instance de proxy Web sécurisé peut prendre plusieurs minutes.
Tester la connectivité
Connectez-vous à la VM que vous avez provisionnée précédemment.
gcloud compute ssh swp-test-vm \ --zone=ZONE
Remplacez
ZONE
par la zone de votre instance de VM de test.Testez l'instance Secure Web Proxy.
curl -s -o /dev/null -w "%{http_code}\\n" -x IP_ADDRESS:443 https://www.wikipedia.org
Remplacez
IP_ADDRESS
par l'adresse IP de votre instance Secure Web Proxy. Cette commande affiche le code d'état HTTP renvoyé par www.wikipedia.org. Si la commande aboutit, le code d'état est200
. Toutefois, en cas de problème avec le proxy, la commande renvoie un code d'état000
pour indiquer une erreur de connexion. Pour afficher les messages d'erreur détaillés, ajoutez l'option-v
à la commande.
Effectuer un nettoyage
Pour éviter que les ressources utilisées dans cette démonstration soient facturées sur votre compte Google Cloud , procédez comme suit :
Supprimez l'instance de proxy Web sécurisé swp1
.
Console
Dans la console Google Cloud , accédez à la page Proxys Web. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux qui sont disponibles dans un réseau donné.
Sélectionnez le proxy Web que vous souhaitez supprimer.
Cliquez sur Supprimer.
Cliquez à nouveau sur Supprimer pour confirmer votre choix.
Cloud Shell
gcloud network-services gateways delete swp1 \
--location=REGION
Remplacez REGION
par la région de votre instance Secure Web Proxy.
Supprimer la règle allow-wikipedia-org
Console
Dans la console Google Cloud , accédez à la page Proxys Web. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux qui sont disponibles dans un réseau donné.
Cliquez sur la stratégie.
Sélectionnez la règle que vous souhaitez supprimer.
Cliquez sur Supprimer.
Cliquez à nouveau sur Supprimer pour confirmer votre choix.
Cloud Shell
gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
--location=REGION \
--gateway-security-policy=policy1
Remplacez REGION
par la région de votre règle.
Supprimer la règle de proxy Web sécurisé policy1
Console
Dans la console Google Cloud , accédez à la page Proxys Web. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux qui sont disponibles dans un réseau donné.
Sélectionnez la règle que vous souhaitez supprimer.
Cliquez sur Supprimer.
Cliquez à nouveau sur Supprimer pour confirmer votre choix.
Cloud Shell
gcloud network-security gateway-security-policies delete policy1 \
--location=REGION
Remplacez REGION
par la région de votre règle.
Supprimer l'instance de VM Linux swp-test-vm
Console
Dans la console Google Cloud , accédez à la page Instances de VM.
Sélectionnez les instances à supprimer.
Cliquez sur Supprimer.
Cloud Shell
gcloud compute instances delete swp-test-vm