Esegui il deployment di un'istanza di Secure Web Proxy
Questa guida rapida mostra come eseguire il deployment e il test di un'istanza di Secure Web Proxy.
Prima di iniziare
Completa la configurazione iniziale passaggi.
Per eseguire i comandi in questa pagina, configura l'interfaccia a riga di comando Google Cloud in uno dei seguenti ambienti di sviluppo:
Cloud Shell
Per utilizzare un terminale online con gcloud CLI già configurato, attiva Cloud Shell:
Al termine di questa pagina, viene avviata una sessione di Cloud Shell, alla riga di comando. La sessione può richiedere alcuni secondi vengono inizializzate.
Shell locale
Per utilizzare un ambiente di sviluppo locale:
Crea o seleziona un progetto Google Cloud.
Console
Nella pagina del selettore progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.
Cloud Shell
Crea un progetto Google Cloud:
gcloud projects create PROJECT_IDSostituisci
PROJECT_IDcon l'ID progetto che preferisci.Seleziona il progetto Google Cloud che hai creato:
gcloud config set project PROJECT_ID
Crea un'istanza di una macchina virtuale (VM) Linux:
gcloud compute instances create swp-test-vm \ --subnet=default \ --zone=ZONE \ --image-project=debian-cloud \ --image-family=debian-11Compute Engine concede all'utente che crea la VM Ruolo di amministratore dell'istanza (
roles/compute.instanceAdmin). Compute Engine inoltre aggiunge l'utente al gruppo sudo.Crea una regola firewall:
gcloud compute firewall-rules create default-allow-ssh \ --direction=INGRESS \ --priority=1000 \ --network=default \ --action=ALLOW \ --rules=tcp:22 \ --source-ranges=0.0.0.0/0
Crea un criterio Secure Web Proxy
Console
Nella console Google Cloud, vai alla pagina Sicurezza della rete.
Fai clic su Secure Web Proxy (Proxy web sicuro).
Fai clic sulla scheda Norme.
Fai clic su Crea un criterio.
Inserisci un nome per il criterio che vuoi creare, ad esempio
myswppolicy.Inserisci una descrizione della norma, ad esempio
My new swp policy.Nell'elenco Regioni, seleziona la regione in cui vuoi creare il criterio del proxy web.
Se vuoi configurare l'ispezione TLS per il proxy web, seleziona Configura l'ispezione TLS.
Nell'elenco Criterio di ispezione TLS, seleziona il criterio di ispezione TLS che hai creato. Il criterio di ispezione TLS viene visualizzato nell'elenco solo se lo hai creato.
Se vuoi creare regole per le tue norme, fai clic su Continua, quindi fai clic su Aggiungi regola. Per maggiori dettagli, vedi Crea regole di Secure Web Proxy.
Fai clic su Crea.
Cloud Shell
Alcuni criteri del proxy web richiedono che il traffico sia criptato con TLS per la valutazione. A seconda che tu voglia la crittografia TLS, utilizza uno dei seguenti metodi per creare un criterio:
Crea un criterio con la configurazione dell'ispezione TLS.
Per abilitare l'ispezione TLS, esegui la procedura descritta in Abilita l'ispezione TLS quindi creo il file
policy.yaml:description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAMECrea un criterio senza la configurazione dell'ispezione TLS.
Se non vuoi attivare l'ispezione TLS, crea il file
policy.yaml:description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
Crea il criterio Secure Web Proxy:
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION
Crea regole di Secure Web Proxy
Console
Nella console Google Cloud, vai alla pagina Sicurezza della rete.
Fai clic su Secure Web Proxy (Proxy web sicuro).
Fai clic sulla scheda Norme.
Fai clic sul nome del criterio.
Fai clic su Aggiungi regola.
Compila i campi della regola:
- Nome
- Descrizione
- Stato
- Priorità: l'ordine di valutazione numerico della regola. Le regole sono
valutato dalla priorità più alta a quella più bassa, dove
0è la priorità più alta la priorità. - Nella sezione Azione, specifica se le connessioni che corrispondono alla regola sono consentite (Consenti) o negate (Nega).
- Nella sezione Corrispondenza sessione, specifica i criteri per la corrispondenza della sessione. Per ulteriori informazioni sulla sintassi di
SessionMatcher, consulta il riferimento al linguaggio dei corrispondenti CEL. - Per attivare l'ispezione TLS, seleziona Attiva ispezione TLS.
- Nella sezione Corrispondenza applicazione, specifica i criteri per che corrispondono alla richiesta. Se non abiliti la regola per TLS , la richiesta può corrispondere solo al traffico HTTP.
- Fai clic su Crea.
Fai clic su Aggiungi regola per aggiungere un'altra regola.
Fai clic su Crea per creare il criterio.
Cloud Shell
A seconda che desideri crittografia TLS, utilizza uno qualsiasi dei seguenti metodi per creare una regola:
Crea una regola con la configurazione dell'ispezione TLS.
Per attivare l'ispezione TLS, crea il file
rule.yaml:name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org description: Allow wikipedia enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'wikipedia.org' applicationMatcher: request.path.contains('index.html') tlsInspectionEnabled: trueCrea una regola senza la configurazione dell'ispezione TLS.
Se non vuoi attivare l'ispezione TLS, crea il file
rule.yaml:name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org description: Allow wikipedia.org enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'wikipedia.org'
Crea la regola del criterio di sicurezza:
gcloud network-security gateway-security-policies rules import allow-wikipedia-org \ --source=rule.yaml \ --location=REGION \ --gateway-security-policy=policy1
Configurare un proxy web
Console
Nella console Google Cloud, vai alla pagina Sicurezza di rete.
Fai clic su Secure Web Proxy (Proxy web sicuro).
Fai clic sulla scheda Proxy web.
Fai clic su Configura un proxy web.
Inserisci un nome per il proxy web che vuoi creare, ad esempio
myswp.Inserisci una descrizione del proxy web, ad esempio
My new swp.Nell'elenco Regioni, seleziona la regione in cui vuoi creare proxy web.
Nell'elenco Rete, seleziona la rete in cui creare la proxy web.
Nell'elenco Subnet, seleziona la subnet in cui vuoi creare il proxy web.
Inserisci l'indirizzo IP del proxy web.
Nell'elenco Certificato, seleziona il certificato da utilizzare per creare il proxy web.
Nell'elenco Norma, seleziona la norma creata per associare il proxy web.
Fai clic su Crea.
Cloud Shell
Crea il file
gateway.yaml:name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["10.128.0.99"] ports: [443] certificateUrls: ["projects/PROJECT_ID/locations/REGION/certificates/cert1"] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/default subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/default scope: samplescopeCrea un'istanza di Secure Web Proxy:
gcloud network-services gateways import swp1 \ --source=gateway.yaml \ --location=REGIONIl deployment di un'istanza di Secure Web Proxy può richiedere diversi minuti.
Testa la connettività
Connettiti alla VM di cui hai eseguito il provisioning in precedenza:
gcloud compute ssh swp-test-vm \ --zone=ZONETesta l'istanza di Secure Web Proxy:
curl -x http://10.128.0.99:80 https://wikipedia.orgSe hai configurato l'istanza di Secure Web Proxy per l'ispezione TLS, utilizza il seguente comando:
curl -x http://10.128.0.99:80 https://wikipedia.org/index.html
Esegui la pulizia
Per evitare che al tuo account Google Cloud vengano addebitati costi per le risorse utilizzate in questa pagina, segui questi passaggi.
Elimina l'istanza di Secure Web Proxy swp1
Console
Nella console Google Cloud, vai alla pagina Sicurezza della rete.
Fai clic su Secure Web Proxy (Proxy web sicuro). Puoi visualizzare un elenco di tutti i proxy web o solo quelli di una determinata rete.
Seleziona il proxy web che vuoi eliminare.
Fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
Cloud Shell
gcloud network-services gateways delete swp1 \
--location=REGION
Elimina la regola allow-wikipedia-org
Console
Nella console Google Cloud, vai alla pagina Sicurezza di rete.
Fai clic su Secure Web Proxy (Proxy web sicuro). Puoi visualizzare un elenco di tutti i proxy web o solo quelle presenti in una determinata rete.
Fai clic sulla scheda Norme.
Fai clic sulla norma.
Seleziona la regola da eliminare.
Fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
Cloud Shell
gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
--location=REGION \
--gateway-security-policy=policy1
Elimina il criterio Secure Web Proxy policy1
Console
Nella console Google Cloud, vai alla pagina Sicurezza di rete.
Fai clic su Secure Web Proxy. Puoi visualizzare un elenco di tutti i proxy web o solo quelle presenti in una determinata rete.
Fai clic sulla scheda Norme.
Seleziona il criterio che vuoi eliminare.
Fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
Cloud Shell
gcloud network-security gateway-security-policies delete policy1 \
--location=REGION
Elimina l'istanza VM Linux swp-test-vm
Console
Nella console Google Cloud, vai alla pagina Istanze VM.
Seleziona le istanze da eliminare.
Fai clic su Elimina.
Cloud Shell
gcloud compute instances delete swp-test-vm