Esegui il deployment di un'istanza di Secure Web Proxy

Questa guida rapida spiega come eseguire il deployment e testare un'istanza di Secure Web Proxy.

I passaggi descrivono il deployment di Secure Web Proxy in modalità di routing esplicito, che funziona come un proxy esplicito. Le istanze di Secure Web Proxy in modalità di routing esplicito possono essere pubblicate come servizio Private Service Connect.

In alternativa, puoi eseguire il deployment di Secure Web Proxy in modalità di routing "Hop successivo". Per saperne di più, consulta Deploy Secure Web Proxy come hop successivo.

Prima di iniziare

  1. Completa i passaggi della configurazione iniziale.

  2. (Facoltativo) Installa Google Cloud CLI in uno dei seguenti ambienti di sviluppo se vuoi eseguire gli esempi di riga di comando gcloud specificati in questa guida:

    Cloud Shell

    Per utilizzare un terminale online con gcloud CLI già configurato, attiva Cloud Shell:

    Alla fine di questa pagina, viene avviata una sessione di Cloud Shell e viene visualizzato un prompt della riga di comando. L'inizializzazione della sessione può richiedere alcuni secondi.

    Shell locale

    Per utilizzare un ambiente di sviluppo locale:

    1. Installa gcloud CLI.
    2. Inizializza gcloud CLI.

  3. Crea o seleziona un Google Cloud progetto.

    Console

    Nella console Google Cloud , nella pagina di selezione del progetto, seleziona o crea un progetto Google Cloud .

    Vai al selettore dei progetti

    Cloud Shell

    • Creare un progetto Google Cloud :

      gcloud projects create PROJECT_ID

      Sostituisci PROJECT_ID con l'ID progetto che vuoi.

    • Seleziona il progetto Google Cloud che hai creato:

      gcloud config set project PROJECT_ID

  4. Crea un'istanza di macchina virtuale (VM) Linux.

    gcloud compute instances create swp-test-vm \
    --subnet=default \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11

    Sostituisci ZONE con la zona dell'istanza VM di test.

    Compute Engine concede all'utente che crea la VM il ruolo Amministratore istanza Compute (roles/compute.instanceAdmin). Compute Engine aggiunge anche l'utente al gruppo sudo.

  5. Crea una regola firewall.

    gcloud compute firewall-rules create default-allow-ssh \
    --direction=INGRESS \
    --priority=1000 \
    --network=default \
    --action=ALLOW \
    --rules=tcp:22 \
    --source-ranges=0.0.0.0/0

Crea un criterio Secure Web Proxy

Console

  1. Nella console Google Cloud , vai alla pagina Policy SWP.

    Vai a Policy SWP

  2. Fai clic su Crea un criterio.

  3. Inserisci un nome per la policy che vuoi creare, ad esempio policy1.

  4. Inserisci una descrizione della norma, ad esempio My new swp policy.

  5. Nell'elenco Regioni, seleziona la regione in cui vuoi creare il criterio proxy web.

  6. Se vuoi creare regole per la tua policy, fai clic su Aggiungi regola. Per saperne di più, consulta la sezione Creare regole Secure Web Proxy.

  7. Fai clic su Crea.

Cloud Shell

  1. Crea il file policy.yaml.

      description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID progetto del tuo progetto
    • REGION: la regione della policy

  2. Crea il criterio Secure Web Proxy.

    gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

Crea regole Secure Web Proxy

Console

  1. Nella console Google Cloud , vai alla pagina Policy SWP.

    Vai a Policy SWP

  2. Fai clic sul nome della norma.

  3. Fai clic su Aggiungi regola.

  4. Compila i seguenti campi della regola:

    1. Nome
    2. Descrizione
    3. Stato
    4. Priorità: ordine di valutazione numerico della regola. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta.
    5. Nella sezione Azione, specifica se le connessioni che corrispondono alla regola sono consentite (Consenti) o negate (Nega).
    6. Nella sezione Corrispondenza sessione, specifica i criteri per la corrispondenza della sessione. Per saperne di più sulla sintassi di SessionMatcher, consulta la documentazione di riferimento del linguaggio di corrispondenza CEL.
    7. (Facoltativo) Se vuoi abilitare l'ispezione TLS, seleziona Abilita ispezione TLS.

    8. Nella sezione Corrispondenza applicazione, specifica i criteri per la corrispondenza della richiesta. Se non abiliti la regola per l'ispezione TLS, la richiesta può corrispondere solo al traffico HTTP.

      Per informazioni sulla corrispondenza del traffico TPC, vedi Configurare le regole proxy TCP per l'applicazione.

    9. Fai clic su Crea.

  5. Fai clic su Aggiungi regola per aggiungere un'altra regola.

Cloud Shell

  1. Crea il file rule.yaml come mostrato qui. Per maggiori informazioni sulla sintassi di SessionMatcher, consulta la documentazione di riferimento del linguaggio di corrispondenza CEL.

    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'www.wikipedia.org'

    • (Facoltativo) In alternativa, se vuoi creare una regola con la configurazione di ispezione TLS, crea il file rule.yaml come mostrato qui.

      Per informazioni sulla corrispondenza del traffico TPC, vedi Configurare le regole proxy TCP per l'applicazione.

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'www.wikipedia.org'
applicationMatcher: request.path.contains('index.html')
tlsInspectionEnabled: true

      Sostituisci quanto segue:

      • PROJECT_ID: l'ID del progetto
      • REGION: la regione della policy

  2. Crea la regola della policy di sicurezza.

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
    --source=rule.yaml \
    --location=REGION \
    --gateway-security-policy=policy1

Configurare un proxy web

Questa sezione spiega come eseguire il deployment di Secure Web Proxy in modalità di routing esplicito, che funziona come un proxy esplicito.

Console

  1. Nella console Google Cloud , vai alla pagina Proxy web.

    Vai a Proxy web

  2. Fai clic su Crea un proxy web sicuro.

  3. Inserisci un nome per il proxy web che vuoi creare, ad esempio myswp.

  4. Inserisci una descrizione del proxy web, ad esempio My new swp.

  5. Per Modalità di routing, seleziona l'opzione Esplicita.

  6. Nell'elenco Regioni, seleziona la regione in cui vuoi creare il proxy web.

  7. Nell'elenco Rete, seleziona la rete in cui vuoi creare il proxy web.

  8. Nell'elenco Subnet, seleziona la subnet in cui vuoi creare il proxy web.

  9. (Facoltativo) Inserisci l'indirizzo IP di Secure Web Proxy. Puoi inserire un indirizzo IP dall'intervallo di indirizzi IP proxy web protetti che si trovano nella subnet creata nel passaggio precedente. Se non inserisci l'indirizzo IP, l'istanza di Secure Web Proxy sceglie automaticamente un indirizzo IP dalla subnet selezionata.

  10. Nell'elenco Certificato, seleziona il certificato da utilizzare per creare il proxy web.

  11. Nell'elenco Norma, seleziona la norma che hai creato per associare il proxy web.

  12. Fai clic su Crea.

Cloud Shell

  1. Crea il file gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: EXPLICIT_ROUTING_MODE

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID progetto del tuo progetto
    • REGION: la regione dell'istanza Secure Web Proxy
    • IP_ADDRESS: l'indirizzo IP dell'istanza Secure Web Proxy
    • NETWORK: la rete dell'istanza Secure Web Proxy
    • SUBNETWORK: la subnet della tua istanza Secure Web Proxy

  2. Crea un'istanza di Secure Web Proxy basata su gateway.yaml.

    gcloud network-services gateways import swp1 \
    --source=gateway.yaml \
    --location=REGION

    Il deployment di un'istanza di Secure Web Proxy può richiedere diversi minuti.

Testa la connettività

  1. Connettiti alla VM di cui hai eseguito il provisioning in precedenza.

    gcloud compute ssh swp-test-vm \
    --zone=ZONE

    Sostituisci ZONE con la zona dell'istanza VM di test.

  2. Testa l'istanza di Secure Web Proxy.

    curl -s -o /dev/null -w "%{http_code}\\n" -x IP_ADDRESS:443 https://www.wikipedia.org

    Sostituisci IP_ADDRESS con l'indirizzo IP dell'istanza di Secure Web Proxy. Questo comando stampa il codice di stato HTTP restituito da www.wikipedia.org. Se il comando ha esito positivo, il codice di stato è 200. Tuttavia, se si verifica un problema con il proxy, il comando restituirà un codice di stato 000 per indicare un errore di connessione. Per visualizzare i messaggi di errore dettagliati, aggiungi l'opzione -v al comando.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi.

Elimina l'istanza di Secure Web Proxy swp1

Console

  1. Nella console Google Cloud , vai alla pagina Proxy web. Puoi visualizzare l'elenco di tutti i proxy web o solo quelli disponibili in una determinata rete.

    Vai a Proxy web

  2. Seleziona il proxy web che vuoi eliminare.

  3. Fai clic su Elimina.

  4. Fai di nuovo clic su Elimina per confermare.

Cloud Shell 

gcloud network-services gateways delete swp1 \
    --location=REGION

Sostituisci REGION con la regione dell'istanza Secure Web Proxy.

Elimina la regola allow-wikipedia-org

Console

  1. Nella console Google Cloud , vai alla pagina Proxy web. Puoi visualizzare l'elenco di tutti i proxy web o solo quelli disponibili in una determinata rete.

    Vai a Proxy web

  2. Fai clic sulla policy.

  3. Seleziona la regola che vuoi eliminare.

  4. Fai clic su Elimina.

  5. Fai di nuovo clic su Elimina per confermare.

Cloud Shell 

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Sostituisci REGION con la regione della tua policy.

Elimina la policy policy1 Secure Web Proxy

Console

  1. Nella console Google Cloud , vai alla pagina Proxy web. Puoi visualizzare l'elenco di tutti i proxy web o solo quelli disponibili in una determinata rete.

    Vai a Proxy web

  2. Seleziona la policy che vuoi eliminare.

  3. Fai clic su Elimina.

  4. Fai di nuovo clic su Elimina per confermare.

Cloud Shell 

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Sostituisci REGION con la regione della tua policy.

Elimina l'istanza VM Linux swp-test-vm

Console

  1. Nella console Google Cloud , vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Seleziona le istanze da eliminare.

  3. Fai clic su Elimina.

Cloud Shell 

gcloud compute instances delete swp-test-vm

Passaggi successivi