Déployer une instance Secure Web Proxy

Ce guide de démarrage rapide explique comment déployer et tester une instance de proxy Web sécurisé.

Les étapes décrivent le déploiement de Secure Web Proxy en mode de routage explicite, fonctionnant comme un proxy explicite. Les instances de proxy Web sécurisé en mode de routage explicite peuvent être publiées en tant que service Private Service Connect.

Vous pouvez également déployer le proxy Web sécurisé en mode de routage du prochain saut. Pour en savoir plus, consultez Déployer Secure Web Proxy comme prochain saut.

Avant de commencer

  1. Suivez les étapes de configuration initiale.

  2. Facultatif : Installez Google Cloud CLI dans l'un des environnements de développement suivants si vous souhaitez exécuter les exemples de ligne de commande gcloud spécifiés dans ce guide :

    Cloud Shell

    Pour utiliser un terminal en ligne avec la gcloud CLI déjà configurée, activez Cloud Shell :

    En bas de la page, une session Cloud Shell démarre et affiche une invite de ligne de commande. L'initialisation de la session peut prendre quelques secondes.

    Shell local

    Pour utiliser un environnement de développement local, procédez comme suit :

    1. Installez la CLI gcloud.
    2. Initialisez gcloud CLI.
  3. Créez ou sélectionnez un Google Cloud projet.

    Console

    Dans la console Google Cloud , sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud .

    Accéder au sélecteur de projet

    Cloud Shell

    • Créez un projet : Google Cloud

      gcloud projects create PROJECT_ID
      

      Remplacez PROJECT_ID par l'ID du projet de votre choix.

    • Sélectionnez le projet Google Cloud que vous avez créé :

      gcloud config set project PROJECT_ID
      
  4. créer une instance de machine virtuelle (VM) Linux ;

    gcloud compute instances create swp-test-vm \
        --subnet=default \
        --zone=ZONE \
        --image-project=debian-cloud \
        --image-family=debian-11
    

    Remplacez ZONE par la zone de votre instance de VM de test.

    Compute Engine attribue le rôle Administrateur d'instance Compute (roles/compute.instanceAdmin) à l'utilisateur qui crée la VM et l'ajoute également au groupe sudo.

  5. Créez une règle de pare-feu.

    gcloud compute firewall-rules create default-allow-ssh \
        --direction=INGRESS \
        --priority=1000 \
        --network=default \
        --action=ALLOW \
        --rules=tcp:22 \
        --source-ranges=0.0.0.0/0
    

Créer une règle de proxy Web sécurisé

Console

  1. Dans la console Google Cloud , accédez à la page Règles SWP.

    Accéder aux règles SWP

  2. Cliquez sur Créer une règle.

  3. Saisissez le nom de la règle que vous souhaitez créer, par exemple policy1.

  4. Saisissez une description de la règle, par exemple My new swp policy.

  5. Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer la règle de proxy Web.

  6. Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Ajouter une règle. Pour en savoir plus, consultez la section Créer des règles de proxy Web sécurisé.

  7. Cliquez sur Créer.

Cloud Shell

  1. Créez le fichier policy.yaml.

      description: basic Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    

    Remplacez les éléments suivants :

    • PROJECT_ID : ID de votre projet
    • REGION : région de votre règle
  2. Créez la règle de proxy Web sécurisé.

    gcloud network-security gateway-security-policies import policy1 \
        --source=policy.yaml \
        --location=REGION
    

Créer des règles de proxy Web sécurisé

Console

  1. Dans la console Google Cloud , accédez à la page Règles SWP.

    Accéder aux règles SWP

  2. Cliquez sur le nom de votre stratégie.

  3. Cliquez sur Ajouter une règle.

  4. Renseignez les champs de règle suivants :

    1. Nom
    2. Description
    3. Status
    4. Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée.
    5. Dans la section Action, indiquez si les connexions correspondant à la règle sont autorisées (Autoriser) ou refusées (Refuser).
    6. Dans la section Correspondance de la session, spécifiez les critères de correspondance de la session. Pour en savoir plus sur la syntaxe de SessionMatcher, consultez la documentation de référence sur le langage de correspondance CEL.
    7. Facultatif : Si vous souhaitez activer l'inspection TLS, sélectionnez Activer l'inspection TLS.
    8. Dans la section Correspondance de l'application, spécifiez les critères de correspondance de la requête. Si vous n'activez pas la règle pour l'inspection TLS, la requête ne peut correspondre qu'au trafic HTTP.

      Pour en savoir plus sur la mise en correspondance du trafic TCP, consultez Configurer des règles de proxy TCP pour votre application.

    9. Cliquez sur Créer.

  5. Cliquez sur Ajouter une règle pour ajouter une règle.

Cloud Shell

  1. Créez le fichier rule.yaml comme indiqué ici. Pour en savoir plus sur la syntaxe de SessionMatcher, consultez la documentation de référence sur le langage de correspondance CEL.

    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
    description: Allow wikipedia.org
    enabled: true
    priority: 1
    basicProfile: ALLOW
    sessionMatcher: host() == 'www.wikipedia.org'
    
    • Facultatif : Si vous souhaitez créer une règle avec la configuration d'inspection TLS, créez le fichier rule.yaml comme indiqué ici.

      Pour en savoir plus sur la mise en correspondance du trafic TCP, consultez Configurer des règles de proxy TCP pour votre application.

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
      description: Allow wikipedia.org
      enabled: true
      priority: 1
      basicProfile: ALLOW
      sessionMatcher: host() == 'www.wikipedia.org'
      applicationMatcher: request.path.contains('index.html')
      tlsInspectionEnabled: true
      

      Remplacez les éléments suivants :

      • PROJECT_ID : ID de votre projet
      • REGION : région de votre règle
  2. Créez la règle de stratégie de sécurité.

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
        --source=rule.yaml \
        --location=REGION \
        --gateway-security-policy=policy1
    

Configurer un proxy Web

Cette section explique comment déployer Secure Web Proxy en mode de routage explicite, en tant que proxy explicite.

Console

  1. Dans la console Google Cloud , accédez à la page Proxys Web.

    Accéder aux proxys Web

  2. Cliquez sur Créer un proxy Web sécurisé.

  3. Saisissez un nom pour le proxy Web que vous souhaitez créer, par exemple myswp.

  4. Saisissez une description du proxy Web, par exemple My new swp.

  5. Pour Mode de routage, sélectionnez l'option Explicite.

  6. Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer le proxy Web.

  7. Dans la liste Réseau, sélectionnez le réseau dans lequel vous souhaitez créer le proxy Web.

  8. Dans la liste Sous-réseau, sélectionnez le sous-réseau dans lequel vous souhaitez créer le proxy Web.

  9. Facultatif : Saisissez l'adresse IP du proxy Web sécurisé. Vous pouvez saisir une adresse IP de la plage d'adresses IP du proxy Web sécurisé qui se trouve dans le sous-réseau que vous avez créé à l'étape précédente. Si vous ne saisissez pas l'adresse IP, votre instance Secure Web Proxy choisit automatiquement une adresse IP dans le sous-réseau sélectionné.

  10. Dans la liste Certificat, sélectionnez le certificat que vous souhaitez utiliser pour créer le proxy Web.

  11. Dans la liste Règle, sélectionnez la règle que vous avez créée pour associer le proxy Web.

  12. Cliquez sur Créer.

Cloud Shell

  1. Créez le fichier gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
    type: SECURE_WEB_GATEWAY
    addresses: ["IP_ADDRESS"]
    ports: [443]
    gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    network: projects/PROJECT_ID/global/networks/NETWORK
    subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
    routingMode: EXPLICIT_ROUTING_MODE
    

    Remplacez les éléments suivants :

    • PROJECT_ID : ID de votre projet
    • REGION : région de votre instance Secure Web Proxy
    • IP_ADDRESS : adresse IP de votre instance Secure Web Proxy
    • NETWORK : réseau de votre instance de proxy Web sécurisé
    • SUBNETWORK : sous-réseau de votre instance de proxy Web sécurisé
  2. Créez une instance de proxy Web sécurisé basée sur gateway.yaml.

    gcloud network-services gateways import swp1 \
        --source=gateway.yaml \
        --location=REGION
    

    Le déploiement d'une instance de proxy Web sécurisé peut prendre plusieurs minutes.

Tester la connectivité

  1. Connectez-vous à la VM que vous avez provisionnée précédemment.

    gcloud compute ssh swp-test-vm \
        --zone=ZONE
    

    Remplacez ZONE par la zone de votre instance de VM de test.

  2. Testez l'instance Secure Web Proxy.

    curl -s -o /dev/null -w "%{http_code}\\n" -x IP_ADDRESS:443 https://www.wikipedia.org
    

    Remplacez IP_ADDRESS par l'adresse IP de votre instance Secure Web Proxy. Cette commande affiche le code d'état HTTP renvoyé par www.wikipedia.org. Si la commande aboutit, le code d'état est 200. Toutefois, en cas de problème avec le proxy, la commande renvoie un code d'état 000 pour indiquer une erreur de connexion. Pour afficher les messages d'erreur détaillés, ajoutez l'option -v à la commande.

Effectuer un nettoyage

Pour éviter que les ressources utilisées dans cette démonstration soient facturées sur votre compte Google Cloud , procédez comme suit :

Supprimez l'instance de proxy Web sécurisé swp1.

Console

  1. Dans la console Google Cloud , accédez à la page Proxys Web. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux qui sont disponibles dans un réseau donné.

    Accéder aux proxys Web

  2. Sélectionnez le proxy Web que vous souhaitez supprimer.

  3. Cliquez sur Supprimer.

  4. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

Cloud Shell

gcloud network-services gateways delete swp1 \
    --location=REGION

Remplacez REGION par la région de votre instance Secure Web Proxy.

Supprimer la règle allow-wikipedia-org

Console

  1. Dans la console Google Cloud , accédez à la page Proxys Web. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux qui sont disponibles dans un réseau donné.

    Accéder aux proxys Web

  2. Cliquez sur la stratégie.

  3. Sélectionnez la règle que vous souhaitez supprimer.

  4. Cliquez sur Supprimer.

  5. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

Cloud Shell

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Remplacez REGION par la région de votre règle.

Supprimer la règle de proxy Web sécurisé policy1

Console

  1. Dans la console Google Cloud , accédez à la page Proxys Web. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux qui sont disponibles dans un réseau donné.

    Accéder aux proxys Web

  2. Sélectionnez la règle que vous souhaitez supprimer.

  3. Cliquez sur Supprimer.

  4. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

Cloud Shell

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Remplacez REGION par la région de votre règle.

Supprimer l'instance de VM Linux swp-test-vm

Console

  1. Dans la console Google Cloud , accédez à la page Instances de VM.

    Accéder à la page Instances de VM

  2. Sélectionnez les instances à supprimer.

  3. Cliquez sur Supprimer.

Cloud Shell

gcloud compute instances delete swp-test-vm

Étapes suivantes