Men-deploy instance Secure Web Proxy

Catatan: Halaman ini menjelaskan cara men-deploy Secure Web Proxy sebagai proxy eksplisit. Atau, Anda dapat men-deploy Secure Web Proxy sebagai lampiran layanan Private Service Connect atau sebagai next hop.

Panduan memulai ini menunjukkan cara men-deploy dan menguji instance Secure Web Proxy.

Sebelum memulai

  1. Selesaikan langkah-langkah penyiapan awal.

  2. Untuk menjalankan perintah di halaman ini, siapkan Google Cloud CLI di salah satu lingkungan pengembangan berikut:

    Cloud Shell

    Untuk menggunakan terminal online dengan gcloud CLI yang sudah disiapkan, aktifkan Cloud Shell:

    Di akhir halaman ini, sesi Cloud Shell akan dimulai dan menampilkan perintah command line. Perlu waktu beberapa detik hingga sesi dimulai.

    Shell lokal

    Untuk menggunakan lingkungan pengembangan lokal, ikuti langkah-langkah berikut:

    1. Instal gcloud CLI.
    2. Lakukan inisialisasi gcloud CLI.
  3. Membuat atau memilih project Google Cloud.

    Konsol

    Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

    Cloud Shell

    • Membuat project Google Cloud:

      gcloud projects create PROJECT_ID
      

      Ganti PROJECT_ID dengan project ID yang Anda inginkan.

    • Pilih project Google Cloud yang Anda buat:

      gcloud config set project PROJECT_ID
      
  4. Buat instance virtual machine (VM) Linux:

    gcloud compute instances create swp-test-vm \
        --subnet=default \
        --zone=ZONE \
        --image-project=debian-cloud \
        --image-family=debian-11
    

    Compute Engine memberikan peran Compute Instance Admin (roles/compute.instanceAdmin) kepada pengguna yang membuat VM. Compute Engine juga menambahkan pengguna tersebut ke grup sudo.

  5. Buat aturan firewall:

    gcloud compute firewall-rules create default-allow-ssh \
        --direction=INGRESS \
        --priority=1000 \
        --network=default \
        --action=ALLOW \
        --rules=tcp:22 \
        --source-ranges=0.0.0.0/0
    

Membuat kebijakan Secure Web Proxy

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy.

  3. Klik tab Kebijakan.

  4. Klik Buat kebijakan.

  5. Masukkan nama untuk kebijakan yang ingin Anda buat, seperti myswppolicy.

  6. Masukkan deskripsi kebijakan, seperti My new swp policy.

  7. Di daftar Regions, pilih region tempat Anda ingin membuat kebijakan proxy web.

  8. Jika Anda ingin mengonfigurasi pemeriksaan TLS untuk proxy web, pilih Configure TLS inspection.

  9. Dalam daftar TLS inspection policy, pilih TLS inspection policy yang Anda buat. Kebijakan pemeriksaan TLS hanya akan muncul dalam daftar jika Anda membuatnya.

  10. Jika Anda ingin membuat aturan untuk kebijakan, klik Lanjutkan, lalu klik Tambahkan aturan. Untuk mengetahui detailnya, lihat Membuat aturan Secure Web Proxy.

  11. Klik Create.

Cloud Shell

  1. Beberapa kebijakan proxy web mewajibkan traffic dienkripsi TLS untuk evaluasi. Bergantung pada apakah Anda menginginkan enkripsi TLS, gunakan salah satu metode berikut untuk membuat kebijakan:

    • Buat kebijakan dengan konfigurasi pemeriksaan TLS.

      Untuk mengaktifkan pemeriksaan TLS, lakukan prosedur yang dijelaskan di Mengaktifkan pemeriksaan TLS, lalu buat file policy.yaml:

      description: basic Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
      tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
      
    • Buat kebijakan tanpa konfigurasi pemeriksaan TLS.

      Jika Anda tidak ingin mengaktifkan pemeriksaan TLS, buat file policy.yaml:

      description: basic Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
      
  2. Buat kebijakan Secure Web Proxy:

    gcloud network-security gateway-security-policies import policy1 \
        --source=policy.yaml \
        --location=REGION
    

Membuat aturan Secure Web Proxy

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy.

  3. Klik tab Kebijakan.

  4. Klik nama kebijakan Anda.

  5. Klik Tambahkan Aturan.

  6. Isi kolom aturan:

    1. Nama
    2. Deskripsi
    3. Status
    4. Prioritas: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi ke terendah dengan 0 adalah prioritas tertinggi.
    5. Di bagian Action, tentukan apakah koneksi yang cocok dengan aturan diizinkan (Allow) atau ditolak (Deny).
    6. Di bagian Session Match, tentukan kriteria untuk mencocokkan sesi. Untuk informasi selengkapnya tentang sintaksis untuk SessionMatcher, lihat referensi bahasa pencocok CEL.
    7. Untuk mengaktifkan pemeriksaan TLS, pilih Enable TLS inspection.
    8. Di bagian Application Match, tentukan kriteria untuk mencocokkan permintaan. Jika Anda tidak mengaktifkan aturan untuk pemeriksaan TLS, permintaan hanya dapat cocok dengan traffic HTTP.
    9. Klik Create.
  7. Klik Tambahkan aturan untuk menambahkan aturan lain.

  8. Klik Create untuk membuat kebijakan.

Cloud Shell

  1. Bergantung pada apakah Anda menginginkan enkripsi TLS, gunakan salah satu metode berikut untuk membuat aturan:

    • Buat aturan dengan konfigurasi pemeriksaan TLS.

      Untuk mengaktifkan pemeriksaan TLS, buat file rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
      description: Allow wikipedia
      enabled: true
      priority: 1
      basicProfile: ALLOW
      sessionMatcher: host() == 'wikipedia.org'
      applicationMatcher: request.path.contains('index.html')
      tlsInspectionEnabled: true
      
    • Buat aturan tanpa konfigurasi pemeriksaan TLS.

      Jika Anda tidak ingin mengaktifkan pemeriksaan TLS, buat file rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
      description: Allow wikipedia.org
      enabled: true
      priority: 1
      basicProfile: ALLOW
      sessionMatcher: host() == 'wikipedia.org'
      
  2. Buat aturan kebijakan keamanan:

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
        --source=rule.yaml \
        --location=REGION \
        --gateway-security-policy=policy1
    

Menyiapkan proxy web

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy.

  3. Klik tab Web proxy.

  4. Klik Siapkan proxy web.

  5. Masukkan nama untuk proxy web yang ingin Anda buat, seperti myswp.

  6. Masukkan deskripsi proxy web, seperti My new swp.

  7. Di daftar Regions, pilih region tempat Anda ingin membuat proxy web.

  8. Di daftar Network, pilih jaringan tempat Anda ingin membuat proxy web.

  9. Dalam daftar Subnetwork, pilih subnetwork tempat Anda ingin membuat proxy web.

  10. Masukkan alamat IP proxy web.

  11. Di daftar Certificate, pilih sertifikat yang ingin Anda gunakan untuk membuat proxy web.

  12. Di daftar Kebijakan, pilih kebijakan yang Anda buat untuk mengaitkan proxy web.

  13. Klik Create.

Cloud Shell

  1. Buat file gateway.yaml:

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
    type: SECURE_WEB_GATEWAY
    addresses: ["10.128.0.99"]
    ports: [443]
    certificateUrls: ["projects/PROJECT_ID/locations/REGION/certificates/cert1"]
    gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    network: projects/PROJECT_ID/global/networks/default
    subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/default
    scope: samplescope
    
  2. Buat instance Secure Web Proxy:

    gcloud network-services gateways import swp1 \
        --source=gateway.yaml \
        --location=REGION
    

    Mungkin perlu waktu beberapa menit untuk men-deploy instance Secure Web Proxy.

Menguji konektivitas

  1. Hubungkan ke VM yang sebelumnya Anda sediakan:

    gcloud compute ssh swp-test-vm \
        --zone=ZONE
    
  2. Uji instance Secure Web Proxy:

    curl -x http://10.128.0.99:80 https://wikipedia.org
    

    Jika Anda mengonfigurasi instance Secure Web Proxy untuk pemeriksaan TLS, gunakan perintah berikut:

    curl -x http://10.128.0.99:80 https://wikipedia.org/index.html
    

Pembersihan

Agar tidak menimbulkan biaya pada akun Google Cloud Anda untuk resource yang digunakan pada halaman ini, ikuti langkah-langkah berikut.

Menghapus instance Secure Web Proxy swp1

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy. Anda dapat melihat daftar semua proxy web atau hanya proxy di jaringan tertentu.

  3. Pilih proxy web yang ingin dihapus.

  4. Klik Hapus.

  5. Klik Delete lagi untuk mengonfirmasi.

Cloud Shell

gcloud network-services gateways delete swp1 \
    --location=REGION

Menghapus aturan allow-wikipedia-org

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy. Anda dapat melihat daftar semua proxy web atau hanya proxy di jaringan tertentu.

  3. Klik tab Kebijakan.

  4. Klik kebijakan Anda.

  5. Pilih aturan yang ingin dihapus.

  6. Klik Hapus.

  7. Klik Delete lagi untuk mengonfirmasi.

Cloud Shell

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Menghapus kebijakan Secure Web Proxy policy1

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy. Anda dapat melihat daftar semua proxy web atau hanya proxy di jaringan tertentu.

  3. Klik tab Kebijakan.

  4. Pilih kebijakan yang ingin dihapus.

  5. Klik Hapus.

  6. Klik Delete lagi untuk mengonfirmasi.

Cloud Shell

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Menghapus instance VM Linux swp-test-vm

Konsol

  1. Di konsol Google Cloud, buka halaman Instance VM.

    Buka instance VM

  2. Pilih instance yang ingin Anda hapus.

  3. Klik Hapus.

Cloud Shell

gcloud compute instances delete swp-test-vm

Langkah selanjutnya