Déployer une instance de proxy Web sécurisé

Ce guide de démarrage rapide explique comment déployer et tester une instance de proxy Web sécurisé.

Les étapes décrivent le déploiement du proxy Web sécurisé en mode routage explicite, qui fonctionne comme un proxy explicite. Les instances de proxy Web sécurisé en mode routage explicite peuvent être publiées en tant que service Private Service Connect.

Vous pouvez également déployer le proxy Web sécurisé en mode de routage du prochain saut. Pour en savoir plus, consultez la section Déployer le proxy Web sécurisé en tant que saut suivant.

Avant de commencer

  1. Suivez les étapes de configuration initiale.

  2. Facultatif: Installez Google Cloud CLI dans l'un des environnements de développement suivants si vous souhaitez exécuter les exemples de ligne de commande gcloud spécifiés dans ce guide:

    Cloud Shell

    Pour utiliser un terminal en ligne avec la gcloud CLI déjà configurée, activez Cloud Shell:

    À la fin de cette page, une session Cloud Shell démarre et affiche une invite de ligne de commande. L'initialisation de la session peut prendre quelques secondes.

    Interface système locale

    Pour utiliser un environnement de développement local, procédez comme suit :

    1. Installez la CLI gcloud.
    2. Initialisez gcloud CLI.

  3. Créez ou sélectionnez un Google Cloud projet.

    Console

    Dans la console Google Cloud , sur la page de sélection du projet, sélectionnez ou créez un Google Cloud projet.

    Accéder au sélecteur de projet

    Cloud Shell

    • Créez un Google Cloud projet:

      gcloud projects create PROJECT_ID

      Remplacez PROJECT_ID par l'ID du projet souhaité.

    • Sélectionnez le projet Google Cloud que vous avez créé:

      gcloud config set project PROJECT_ID

  4. créer une instance de machine virtuelle (VM) Linux ;

    gcloud compute instances create swp-test-vm \
    --subnet=default \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11

    Remplacez ZONE par la zone de votre instance de VM de test.

    Compute Engine attribue le rôle Administrateur d'instance Compute (roles/compute.instanceAdmin) à l'utilisateur qui crée la VM. Compute Engine ajoute également cet utilisateur au groupe sudo.

  5. Créez une règle de pare-feu.

    gcloud compute firewall-rules create default-allow-ssh \
    --direction=INGRESS \
    --priority=1000 \
    --network=default \
    --action=ALLOW \
    --rules=tcp:22 \
    --source-ranges=0.0.0.0/0

Créer une règle de proxy Web sécurisé

Console

  1. Dans la console Google Cloud , accédez à la page Règles SWP.

    Accéder aux règles SWP

  2. Cliquez sur Créer une règle.

  3. Saisissez un nom pour la stratégie que vous souhaitez créer, par exemple policy1.

  4. Saisissez une description de la stratégie, par exemple My new swp policy.

  5. Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer la règle de proxy Web.

  6. Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Ajouter une règle. Pour en savoir plus, consultez la section Créer des règles de proxy Web sécurisé.

  7. Cliquez sur Créer.

Cloud Shell

  1. Créez le fichier policy.yaml.

      description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1

    Remplacez les éléments suivants :

    • PROJECT_ID : ID de votre projet
    • REGION: région de votre règle

  2. Créez la stratégie de proxy Web sécurisé.

    gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

Créer des règles de proxy Web sécurisé

Console

  1. Dans la console Google Cloud , accédez à la page Règles SWP.

    Accéder aux règles SWP

  2. Cliquez sur le nom de votre stratégie.

  3. Cliquez sur Ajouter une règle.

  4. Complétez les champs de règle suivants:

    1. Nom
    2. Description
    3. Status
    4. Priorité: ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée.
    5. Dans la section Action, indiquez si les connexions correspondant à la règle sont autorisées (Autoriser) ou refusées (Refuser).
    6. Dans la section Correspondance de session, spécifiez les critères de correspondance de la session. Pour en savoir plus sur la syntaxe de SessionMatcher, consultez la documentation de référence sur le langage de correspondance CEL.
    7. Facultatif: Si vous souhaitez activer l'inspection TLS, sélectionnez Activer l'inspection TLS.

    8. Dans la section Application Match (Correspondance des applications), spécifiez les critères de correspondance de la requête. Si vous n'activez pas la règle pour l'inspection TLS, la requête ne peut correspondre qu'au trafic HTTP.

      Pour en savoir plus sur la mise en correspondance du trafic TCP, consultez la section Configurer des règles de proxy TCP pour votre application.

    9. Cliquez sur Créer.

  5. Cliquez sur Ajouter une règle pour ajouter une règle.

Cloud Shell

  1. Créez le fichier rule.yaml comme indiqué ici. Pour en savoir plus sur la syntaxe de SessionMatcher, consultez la documentation de référence sur le langage de correspondance CEL.

    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'wikipedia.org'

    • Facultatif: Si vous souhaitez créer une règle avec la configuration d'inspection TLS, créez le fichier rule.yaml comme indiqué ici.

      Pour en savoir plus sur la mise en correspondance du trafic TCP, consultez la section Configurer des règles de proxy TCP pour votre application.

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'wikipedia.org'
applicationMatcher: request.path.contains('index.html')
tlsInspectionEnabled: true

      Remplacez les éléments suivants :

      • PROJECT_ID : ID de votre projet
      • REGION: région de votre règle

  2. Créez la règle de stratégie de sécurité.

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
    --source=rule.yaml \
    --location=REGION \
    --gateway-security-policy=policy1

Configurer un proxy Web

Cette section explique comment déployer le proxy Web sécurisé en mode routage explicite, qui fonctionne comme un proxy explicite.

Console

  1. Dans la console Google Cloud , accédez à la page Proxys Web.

    Accéder aux proxys Web

  2. Cliquez sur Créer un proxy Web sécurisé.

  3. Saisissez un nom pour le proxy Web que vous souhaitez créer, par exemple myswp.

  4. Saisissez une description du proxy Web, par exemple My new swp.

  5. Pour Mode de routage, sélectionnez l'option Explicite.

  6. Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer le proxy Web.

  7. Dans la liste Réseau, sélectionnez le réseau sur lequel vous souhaitez créer le proxy Web.

  8. Dans la liste Sous-réseau, sélectionnez le sous-réseau dans lequel vous souhaitez créer le proxy Web.

  9. Facultatif: saisissez l'adresse IP du proxy Web sécurisé. Vous pouvez saisir une adresse IP à partir de la plage d'adresses IP du proxy Web sécurisé qui se trouve dans le sous-réseau que vous avez créé à l'étape précédente. Si vous ne saisissez pas d'adresse IP, votre instance de proxy Web sécurisé choisit automatiquement une adresse IP dans le sous-réseau sélectionné.

  10. Dans la liste Certificat, sélectionnez le certificat que vous souhaitez utiliser pour créer le proxy Web.

  11. Dans la liste Règle, sélectionnez la règle que vous avez créée pour associer le proxy Web.

  12. Cliquez sur Créer.

Cloud Shell

  1. Créez le fichier gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: EXPLICIT_ROUTING_MODE

    Remplacez les éléments suivants :

    • PROJECT_ID : ID de votre projet
    • REGION: région de votre instance de proxy Web sécurisé
    • IP_ADDRESS: adresse IP de votre instance de proxy Web sécurisé
    • NETWORK: réseau de votre instance de proxy Web sécurisé
    • SUBNETWORK: sous-réseau de votre instance de proxy Web sécurisé

  2. Créez une instance de proxy Web sécurisé basée sur gateway.yaml.

    gcloud network-services gateways import swp1 \
    --source=gateway.yaml \
    --location=REGION

    Le déploiement d'une instance de proxy Web sécurisé peut prendre plusieurs minutes.

Tester la connectivité

  1. Connectez-vous à la VM que vous avez provisionnée précédemment.

    gcloud compute ssh swp-test-vm \
    --zone=ZONE

    Remplacez ZONE par la zone de votre instance de VM de test.

  2. Testez l'instance du proxy Web sécurisé.

    curl -x IP_ADDRESS

    Remplacez IP_ADDRESS par l'adresse IP de votre instance de proxy Web sécurisé.

Effectuer un nettoyage

Pour éviter que les ressources utilisées sur cette page ne soient facturées sur votre compte Google Cloud , procédez comme suit :

Supprimer l'instance du proxy Web sécurisé swp1

Console

  1. Dans la console Google Cloud , accédez à la page Proxys Web. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux qui sont disponibles dans un réseau donné.

    Accéder aux proxys Web

  2. Sélectionnez le proxy Web que vous souhaitez supprimer.

  3. Cliquez sur Supprimer.

  4. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

Cloud Shell 

gcloud network-services gateways delete swp1 \
    --location=REGION

Remplacez REGION par la région de votre instance de proxy Web sécurisé.

Supprimer la règle allow-wikipedia-org

Console

  1. Dans la console Google Cloud , accédez à la page Proxys Web. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux qui sont disponibles dans un réseau donné.

    Accéder aux proxys Web

  2. Cliquez sur la stratégie.

  3. Sélectionnez la règle que vous souhaitez supprimer.

  4. Cliquez sur Supprimer.

  5. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

Cloud Shell 

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Remplacez REGION par la région de votre règle.

Supprimer la stratégie de proxy Web sécurisé policy1

Console

  1. Dans la console Google Cloud , accédez à la page Proxys Web. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux qui sont disponibles dans un réseau donné.

    Accéder aux proxys Web

  2. Sélectionnez la stratégie que vous souhaitez supprimer.

  3. Cliquez sur Supprimer.

  4. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

Cloud Shell 

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Remplacez REGION par la région de votre règle.

Supprimer l'instance de VM Linux swp-test-vm

Console

  1. Dans la console Google Cloud , accédez à la page Instances de VM.

    Accéder à la page Instances de VM

  2. Sélectionnez les instances à supprimer.

  3. Cliquez sur Supprimer.

Cloud Shell 

gcloud compute instances delete swp-test-vm

Étapes suivantes