Esta página foi traduzida pela API Cloud Translation.

Implantar uma instância do Secure Web Proxy

Este guia de início rápido explica como implantar e testar uma instância do proxy seguro da Web.

As etapas descrevem a implantação do Secure Web Proxy no modo de roteamento explícito, funcionando como um proxy explícito. As instâncias do proxy seguro da Web no modo de roteamento explícito podem ser publicadas como um serviço do Private Service Connect.

Como alternativa, é possível implantar o proxy seguro da Web no modo de roteamento de próximo salto. Para mais informações, consulte Implantar o Secure Web Proxy como um próximo salto.

Antes de começar

Conclua as etapas de configuração inicial.
Opcional: instale a Google Cloud CLI em um dos seguintes ambientes de desenvolvimento se quiser executar os exemplos de linha de comando gcloud especificados neste guia:
Cloud Shell
Para usar um terminal on-line com a CLI gcloud já configurada, ative o Cloud Shell:

Na parte de baixo desta página, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. A inicialização da sessão pode levar alguns segundos.

Observação: se você já instalou a CLI gcloud, verifique se tem a versão mais recente disponível executando gcloud components update.
Shell local
Para usar um ambiente de desenvolvimento local, siga estas etapas:
1. Instale a CLI da gcloud.
2. Inicialize a gcloud CLI.
Crie ou selecione um Google Cloud projeto.

Observação: se você não pretende manter os recursos criados neste procedimento, crie um projeto novo em vez de selecionar um que já existe. Depois de concluir essas etapas, é possível excluir o projeto. Para fazer isso, basta remover todos os recursos associados a ele.
Console
No console do Google Cloud , na página do seletor de projetos, selecione ou crie um projeto do Google Cloud .

Acessar o seletor de projetos
Cloud Shell
- Crie um Google Cloud projeto:
  gcloud projects create PROJECT_ID
  Substitua PROJECT_ID pelo ID do projeto que você quer.
- Selecione o projeto Google Cloud que você criou:
  gcloud config set project PROJECT_ID
Crie uma instância de máquina virtual (VM) do Linux.
```
gcloud compute instances create swp-test-vm \
    --subnet=default \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11
```
Substitua ZONE pela zona da sua instância de VM de teste.

O Compute Engine concede ao usuário que cria a VM a função de administrador de instâncias do Compute (roles/compute.instanceAdmin) e o adiciona ao grupo sudo.

Crie uma regra de firewall.

gcloud compute firewall-rules create default-allow-ssh \
    --direction=INGRESS \
    --priority=1000 \
    --network=default \
    --action=ALLOW \
    --rules=tcp:22 \
    --source-ranges=0.0.0.0/0

Criar uma política do Secure Web Proxy

Console

No console Google Cloud , acesse a página Políticas de SWP.

Acessar as políticas do SWP
Clique em Criar uma política.
Insira um nome para a política que você quer criar, como policy1.
Insira uma descrição da política, como My new swp policy.
Na lista Regiões, selecione a região em que você quer criar a política de proxy da Web.
Se você quiser criar regras para sua política, clique em Adicionar regra. Para mais informações, consulte a seção Criar regras do Secure Web Proxy.
Clique em Criar.

Cloud Shell

Crie o arquivo policy.yaml.
```
  description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
```
Observação: se você quiser criar uma política com a configuração de inspeção de TLS, siga o procedimento descrito em Ativar a inspeção de TLS.

Substitua:
- PROJECT_ID: o ID do projeto
- REGION: a região da política

Crie a política do Secure Web Proxy.

gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

Criar regras do Secure Web Proxy

Console

No console Google Cloud , acesse a página Políticas de SWP.

Acessar as políticas do SWP
Clique no nome da sua política.
Clique em Adicionar regra.
Preencha os seguintes campos da regra:
1. Nome
2. Descrição
3. Status
4. Prioridade: ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta.
5. Na seção Ação, especifique se as conexões que correspondem à regra são permitidas (Permitir) ou negadas (Negar).
6. Na seção Correspondência de sessão, especifique os critérios para correspondência da sessão. Para mais informações sobre a sintaxe de SessionMatcher, consulte a referência da linguagem de correspondência da CEL.
7. Opcional: se você quiser ativar a inspeção TLS, selecione Ativar inspeção TLS.
8. Na seção Correspondência de aplicativo, especifique os critérios para corresponder à solicitação. Se você não ativar a regra para inspeção TLS, a solicitação só poderá corresponder ao tráfego HTTP.
  
  Para informações sobre como corresponder o tráfego TPC, consulte Configurar regras de proxy TCP para seu aplicativo.
9. Clique em Criar.
Clique em Adicionar regra para adicionar outra regra.

Cloud Shell

Crie o arquivo rule.yaml conforme mostrado aqui. Para mais informações sobre a sintaxe de SessionMatcher, consulte Referência da linguagem de correspondência da CEL.

name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'www.wikipedia.org'

Opcional: como alternativa, se você quiser criar uma regra com a configuração de inspeção de TLS, crie o arquivo rule.yaml conforme mostrado aqui.

Para informações sobre como corresponder o tráfego TPC, consulte Configurar regras de proxy TCP para seu aplicativo.
```
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'www.wikipedia.org'
applicationMatcher: request.path.contains('index.html')
tlsInspectionEnabled: true
```
Substitua:
- PROJECT_ID: ID do projeto
- REGION: a região da política

Crie a regra da política de segurança.

gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
    --source=rule.yaml \
    --location=REGION \
    --gateway-security-policy=policy1

Configurar um proxy da Web

Esta seção explica como implantar o Secure Web Proxy no modo de roteamento explícito, funcionando como um proxy explícito.

Console

No console Google Cloud , acesse a página Proxies da Web.

Acesse proxies da Web
Clique em Criar um proxy da Web seguro.
Insira um nome para o proxy da Web que você quer criar, como myswp.
Insira uma descrição do proxy da Web, como My new swp.
Em Modo de roteamento, selecione a opção Explícito.
Na lista Regiões, selecione a região em que você quer criar o proxy da Web.
Na lista Rede, selecione a rede em que você quer criar o proxy da Web.
Na lista Sub-rede, selecione a sub-rede em que você quer criar o proxy da Web.
Opcional: insira o endereço IP do Secure Web Proxy. Você pode inserir um endereço IP do intervalo de endereços IP do proxy da Web seguro que reside na sub-rede criada na etapa anterior. Se você não inserir o endereço IP, sua instância do Secure Web Proxy escolherá automaticamente um endereço IP da sub-rede selecionada.
Na lista Certificado, selecione o certificado que você quer usar para criar o proxy da Web.
Na lista Política, selecione a política criada para associar o proxy da Web.
Clique em Criar.

Cloud Shell

Crie o arquivo gateway.yaml.

name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: EXPLICIT_ROUTING_MODE

Substitua:

PROJECT_ID: o ID do projeto
REGION: a região da sua instância do Proxy seguro da Web
IP_ADDRESS: o endereço IP da instância do Secure Web Proxy.
NETWORK: a rede da sua instância do Proxy seguro da Web.
SUBNETWORK: a sub-rede da sua instância do proxy seguro da Web.

Crie uma instância do Secure Web Proxy com base em gateway.yaml.
```
gcloud network-services gateways import swp1 \
    --source=gateway.yaml \
    --location=REGION
```
A implantação de uma instância do proxy seguro da Web pode levar vários minutos.

testar a conectividade

Conecte-se à VM que você provisionou anteriormente.
```
gcloud compute ssh swp-test-vm \
    --zone=ZONE
```
Substitua ZONE pela zona da sua instância de VM de teste.
Teste a instância do Secure Web Proxy.
```
curl -s -o /dev/null -w "%{http_code}\\n" -x IP_ADDRESS:443 https://www.wikipedia.org
```
Substitua IP_ADDRESS pelo endereço IP da sua instância do Secure Web Proxy. Esse comando imprime o código de status HTTP retornado de www.wikipedia.org. Se o comando for executado com sucesso, o código de status será 200. No entanto, se houver um problema com o proxy, o comando vai retornar um código de status 000 para indicar um erro de conexão. Para conferir as mensagens de erro detalhadas, adicione a opção -v ao comando.

Limpar

Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga as etapas abaixo.

Exclua a instância do Secure Web Proxy `swp1`

Console

No console Google Cloud , acesse a página Proxies da Web. É possível conferir a lista de todos os proxies da Web ou apenas os que estão disponíveis em uma rede específica.

Acesse proxies da Web
Selecione o proxy da Web que você quer excluir.
Clique em Excluir.
Clique em Excluir novamente para confirmar.

Cloud Shell

gcloud network-services gateways delete swp1 \
    --location=REGION

Substitua REGION pela região da sua instância do Secure Web Proxy.

Exclua a regra `allow-wikipedia-org`.

Console

No console Google Cloud , acesse a página Proxies da Web. É possível conferir a lista de todos os proxies da Web ou apenas os que estão disponíveis em uma rede específica.

Acesse proxies da Web
Clique na sua política.
Selecione a regra que você quer excluir.
Clique em Excluir.
Clique em Excluir novamente para confirmar.

Cloud Shell

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Substitua REGION pela região da sua política.

Exclua a política do Secure Web Proxy `policy1`

Console

No console Google Cloud , acesse a página Proxies da Web. É possível conferir a lista de todos os proxies da Web ou apenas os que estão disponíveis em uma rede específica.

Acesse proxies da Web
Selecione a política que você quer excluir.
Clique em Excluir.
Clique em Excluir novamente para confirmar.

Cloud Shell

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Substitua REGION pela região da sua política.

Excluir a instância de VM do Linux `swp-test-vm`

Console

No console do Google Cloud , acesse a página Instâncias de VM.

Acessar instâncias de VM
Selecione as instâncias que você quer excluir.
Clique em Excluir.

Cloud Shell

gcloud compute instances delete swp-test-vm

Implantar uma instância do Secure Web Proxy

Antes de começar

Cloud Shell

Shell local

Console

Cloud Shell

Criar uma política do Secure Web Proxy

Console

Cloud Shell

Criar regras do Secure Web Proxy

Console

Cloud Shell

Configurar um proxy da Web

Console

Cloud Shell

testar a conectividade

Limpar

Exclua a instância do Secure Web Proxy swp1

Console

Cloud Shell

Exclua a regra allow-wikipedia-org.

Console

Cloud Shell

Exclua a política do Secure Web Proxy policy1

Console

Cloud Shell

Excluir a instância de VM do Linux swp-test-vm

Console

Cloud Shell

A seguir

Exclua a instância do Secure Web Proxy `swp1`

Exclua a regra `allow-wikipedia-org`.

Exclua a política do Secure Web Proxy `policy1`

Excluir a instância de VM do Linux `swp-test-vm`