Implantar uma instância do Secure Web Proxy

Observação: esta página descreve a implantação do Secure Web Proxy como um proxy explícito. Também é possível implantar o proxy seguro da Web como um anexo de serviço do Private Service Connect ou como um salto seguinte.

Neste guia de início rápido, você vai aprender a implantar e testar uma instância do Secure Web Proxy.

Antes de começar

  1. Conclua as etapas de configuração inicial.

  2. Opcional: instale a Google Cloud CLI em qualquer um dos ambientes de desenvolvimento a seguir se você quiser executar os exemplos de linha de comando gcloud especificados neste guia:

    Cloud Shell

    Para usar um terminal on-line com a CLI gcloud já configurada, ative o Cloud Shell:

    No final desta página, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. A inicialização da sessão pode levar alguns segundos.

    Shell local

    Para usar um ambiente de desenvolvimento local, siga estas etapas:

    1. Instale a CLI da gcloud.
    2. Inicialize a CLI gcloud.

  3. Crie ou selecione um Google Cloud projeto.

    Console

    No console Google Cloud , na página do seletor de projetos, selecione ou crie um Google Cloud projeto.

    Acessar o seletor de projetos

    Cloud Shell

    • Crie um Google Cloud projeto:

      gcloud projects create PROJECT_ID

      Substitua PROJECT_ID pelo ID do projeto que você quer.

    • Selecione o projeto Google Cloud que você criou:

      gcloud config set project PROJECT_ID

  4. Crie uma instância de máquina virtual (VM) do Linux:

    gcloud compute instances create swp-test-vm \
    --subnet=default \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11

    O Compute Engine concede ao usuário que cria a VM o papel de administrador de instâncias do Compute (roles/compute.instanceAdmin). O Compute Engine também adiciona esse usuário ao grupo sudo.

  5. Criar uma regra de firewall

    gcloud compute firewall-rules create default-allow-ssh \
    --direction=INGRESS \
    --priority=1000 \
    --network=default \
    --action=ALLOW \
    --rules=tcp:22 \
    --source-ranges=0.0.0.0/0

Criar uma política do Secure Web Proxy

Console

  1. No Google Cloud console, acesse a página Proxy da Web seguro.

    Acessar o Proxy seguro da Web

  2. Clique na guia Políticas.

  3. Clique em Criar uma política.

  4. Digite um nome para a política que você quer criar, como myswppolicy.

  5. Insira uma descrição da política, como My new swp policy.

  6. Na lista Regiões, selecione a região em que você quer criar a política de proxy da Web.

  7. Se você quiser configurar a inspeção TLS para o proxy da Web, selecione Configurar inspeção TLS.

  8. Na lista Política de inspeção da TLS, selecione a política de inspeção da TLS que você criou. A política de inspeção de TLS só aparece na lista se você a criou.

  9. Se você quiser criar regras para a política, clique em Continuar e em Adicionar regra. Para mais detalhes, consulte Criar regras do Secure Web Proxy.

  10. Clique em Criar.

Cloud Shell

  1. Algumas políticas de proxy da Web exigem que o tráfego seja criptografado por TLS para avaliação. Dependendo se você quer criptografia TLS, use qualquer um dos métodos a seguir para criar uma política:

    • Crie uma política com a configuração de inspeção de TLS.

      Para ativar a inspeção de TLS, execute o procedimento descrito em Ativar a inspeção de TLS e crie o arquivo policy.yaml:

      description: basic Secure Web Proxy policy
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

    • Crie uma política sem a configuração de inspeção de TLS.

      Se você não quiser ativar a inspeção TLS, crie o arquivo policy.yaml:

      description: basic Secure Web Proxy policy
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1

  2. Crie a política do Secure Web Proxy:

    gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

Criar regras do Secure Web Proxy

Console

  1. No Google Cloud console, acesse a página Proxy da Web seguro.

    Acessar o Proxy seguro da Web

  2. Clique na guia Políticas.

  3. Clique no nome da sua política.

  4. Clique em Adicionar regra.

  5. Preencha os campos da regra:

    1. Nome
    2. Descrição
    3. Status
    4. Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta.
    5. Na seção Ação, especifique se as conexões que correspondem à regra são permitidas (Permitir) ou negadas (Negar).
    6. Na seção Correspondência de sessão, especifique os critérios para corresponder à sessão. Para mais informações sobre a sintaxe de SessionMatcher, consulte a referência da linguagem de correspondência do CEL.
    7. Para ativar a inspeção de TLS, selecione Ativar inspeção de TLS.
    8. Na seção Correspondência do aplicativo, especifique os critérios para corresponder à solicitação. Se você não ativar a regra para a inspeção TLS, a solicitação só poderá corresponder ao tráfego HTTP.
    9. Clique em Criar.

  6. Clique em Adicionar regra para adicionar outra regra.

  7. Clique em Criar para criar a política.

Cloud Shell

  1. Dependendo se você quer a criptografia TLS, use qualquer um dos seguintes métodos para criar uma regra:

    • Crie uma regra com a configuração de inspeção de TLS.

      Para ativar a inspeção TLS, crie o arquivo rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'wikipedia.org'
applicationMatcher: request.path.contains('index.html')
tlsInspectionEnabled: true

    • Crie uma regra sem a configuração de inspeção de TLS.

      Se você não quiser ativar a inspeção TLS, crie o arquivo rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'wikipedia.org'

  2. Crie a regra da política de segurança:

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
    --source=rule.yaml \
    --location=REGION \
    --gateway-security-policy=policy1

Configurar um proxy da Web

Console

  1. No Google Cloud console, acesse a página Proxy da Web seguro.

    Acessar o Proxy seguro da Web

  2. Clique na guia Proxies da Web.

  3. Clique em Configurar um proxy da Web.

  4. Insira um nome para o proxy da Web que você quer criar, como myswp.

  5. Insira uma descrição do proxy da Web, como My new swp.

  6. Na lista Regiões, selecione a região em que você quer criar o proxy da Web.

  7. Na lista Rede, selecione a rede em que você quer criar o proxy da Web.

  8. Na lista Sub-rede, selecione a sub-rede em que você quer criar o proxy da Web.

  9. Digite o endereço IP do proxy da Web.

  10. Na lista Certificado, selecione o certificado que você quer usar para criar o proxy da Web.

  11. Na lista Política, selecione a política que você criou para associar ao proxy da Web.

  12. Clique em Criar.

Cloud Shell

  1. Crie o arquivo gateway.yaml:

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["10.128.0.99"]
ports: [443]
certificateUrls: ["projects/PROJECT_ID/locations/REGION/certificates/cert1"]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/default
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/default

  2. Crie uma instância do Secure Web Proxy:

    gcloud network-services gateways import swp1 \
    --source=gateway.yaml \
    --location=REGION

    A implantação de uma instância do proxy seguro da Web pode levar vários minutos.

testar a conectividade

  1. Conecte-se à VM que você provisionou anteriormente:

    gcloud compute ssh swp-test-vm \
    --zone=ZONE

  2. Teste a instância do Secure Web Proxy:

    curl -x http://10.128.0.99:80 https://wikipedia.org

    Se você configurou a instância do Secure Web Proxy para inspeção TLS, use o seguinte comando:

    curl -x http://10.128.0.99:80 https://wikipedia.org/index.html

Limpar

Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga estas etapas.

Exclua a instância do Secure Web Proxy swp1

Console

  1. No Google Cloud console, acesse a página Proxy da Web seguro. É possível ver uma lista de todos os proxies da Web ou apenas aqueles em uma rede específica.

    Acessar o Proxy seguro da Web

  2. Selecione o proxy da Web que você quer excluir.

  3. Clique em Excluir.

  4. Clique em Excluir novamente para confirmar.

Cloud Shell 

gcloud network-services gateways delete swp1 \
    --location=REGION

Excluir a regra allow-wikipedia-org

Console

  1. No Google Cloud console, acesse a página Proxy da Web seguro. É possível ver uma lista de todos os proxies da Web ou apenas aqueles em uma rede específica.

    Acessar o Proxy seguro da Web

  2. Clique na guia Políticas.

  3. Clique na sua política.

  4. Selecione a regra que você quer excluir.

  5. Clique em Excluir.

  6. Clique em Excluir novamente para confirmar.

Cloud Shell 

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Exclua a política do Secure Web Proxy policy1

Console

  1. No Google Cloud console, acesse a página Proxy da Web seguro. É possível ver uma lista de todos os proxies da Web ou apenas aqueles em uma rede específica.

    Acessar o Proxy seguro da Web

  2. Clique na guia Políticas.

  3. Selecione a política que você quer excluir.

  4. Clique em Excluir.

  5. Clique em Excluir novamente para confirmar.

Cloud Shell 

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Exclua a instância de VM do Linux swp-test-vm

Console

  1. No Google Cloud console, acesse a página Instâncias de VM.

    Acessar instâncias de VM

  2. Selecione as instâncias que você quer excluir.

  3. Clique em Excluir.

Cloud Shell 

gcloud compute instances delete swp-test-vm

A seguir