Esegui il deployment di un'istanza di Secure Web Proxy
Questa guida rapida spiega come eseguire il deployment e il test di un'istanza di Secure Web Proxy.
I passaggi descrivono il deployment di Secure Web Proxy in modalità di routing esplicito, che funziona come proxy esplicito. Le istanze di Secure Web Proxy in modalità di routing esplicito possono essere pubblicate come servizio Private Service Connect.
In alternativa, puoi eseguire il deployment di Secure Web Proxy in modalità di routing hop successivo. Per saperne di più, consulta Eseguire il deployment di Secure Web Proxy come hop successivo.
Prima di iniziare
Completa i passaggi della configurazione iniziale.
(Facoltativo) Installa Google Cloud CLI in uno dei seguenti ambienti di sviluppo se vuoi eseguire gli esempi di riga di comando
gcloudspecificati in questa guida:Cloud Shell
Per utilizzare un terminale online con gcloud CLI già configurata, attiva Cloud Shell:
Alla fine di questa pagina, viene avviata una sessione di Cloud Shell e visualizzato un prompt della riga di comando. L'inizializzazione della sessione può richiedere alcuni secondi.
Shell locale
Per utilizzare un ambiente di sviluppo locale:
Crea o seleziona un Google Cloud progetto.
Console
Nella Google Cloud console, nella pagina di selezione del progetto, seleziona o crea un Google Cloud progetto.
Cloud Shell
Crea un Google Cloud progetto:
gcloud projects create PROJECT_IDSostituisci
PROJECT_IDcon l'ID progetto che preferisci.Seleziona il Google Cloud progetto che hai creato:
gcloud config set project PROJECT_ID
Creare un'istanza di una macchina virtuale (VM) Linux.
gcloud compute instances create swp-test-vm \ --subnet=default \ --zone=ZONE \ --image-project=debian-cloud \ --image-family=debian-11Sostituisci
ZONEcon la zona dell'istanza VM di test.Compute Engine concede all'utente che crea la VM il ruolo Amministratore di istanza Compute (
roles/compute.instanceAdmin). Inoltre, aggiunge l'utente al gruppo sudo.Crea una regola firewall.
gcloud compute firewall-rules create default-allow-ssh \ --direction=INGRESS \ --priority=1000 \ --network=default \ --action=ALLOW \ --rules=tcp:22 \ --source-ranges=0.0.0.0/0
Crea un criterio Secure Web Proxy
Console
Nella Google Cloud console, vai alla pagina Regole SWP.
Fai clic su Crea un criterio.
Inserisci un nome per il criterio che vuoi creare, ad esempio
policy1.Inserisci una descrizione della norma, ad esempio
My new swp policy.Nell'elenco Regioni, seleziona la regione in cui vuoi creare il criterio del proxy web.
Se vuoi creare regole per il criterio, fai clic su Aggiungi regola. Per ulteriori informazioni, consulta la sezione Creare regole di Secure Web Proxy.
Fai clic su Crea.
Cloud Shell
Crea il file
policy.yaml.description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1Sostituisci quanto segue:
PROJECT_ID: l'ID del tuo progettoREGION: la regione del criterio
Crea il criterio Secure Web Proxy.
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION
Creare regole di Secure Web Proxy
Console
Nella Google Cloud console, vai alla pagina Regole SWP.
Fai clic sul nome del criterio.
Fai clic su Aggiungi regola.
Compila i seguenti campi della regola:
- Nome
- Descrizione
- Stato
- Priorità: ordine di valutazione numerico della regola. Le regole vengono
valutate dalla priorità più alta a quella più bassa, dove
0è la priorità più alta. - Nella sezione Azione, specifica se le connessioni che corrispondono alla regola sono consentite (Consenti) o negate (Nega).
- Nella sezione Corrispondenza sessione, specifica i criteri per la corrispondenza della sessione. Per ulteriori informazioni sulla sintassi di
SessionMatcher, consulta il riferimento al linguaggio dei corrispondenti CEL. - (Facoltativo) Se vuoi abilitare l'ispezione TLS, seleziona Abilita ispezione TLS.
Nella sezione Corrispondenza delle applicazioni, specifica i criteri per la corrispondenza della richiesta. Se non attivi la regola per l'ispezione TLS, la richiesta può corrispondere solo al traffico HTTP.
Per informazioni sulla corrispondenza del traffico TCP, consulta Configurare le regole del proxy TCP per l'applicazione.
Fai clic su Crea.
Fai clic su Aggiungi regola per aggiungere un'altra regola.
Cloud Shell
Crea il file
rule.yamlcome mostrato qui. Per maggiori informazioni sulla sintassi diSessionMatcher, consulta il riferimento al linguaggio dei corrispondenti CEL.name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org description: Allow wikipedia.org enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'wikipedia.org'(Facoltativo) In alternativa, se vuoi creare una regola con la configurazione dell'ispezione TLS, crea il file
rule.yamlcome mostrato qui.Per informazioni sulla corrispondenza del traffico TCP, consulta Configurare le regole del proxy TCP per l'applicazione.
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org description: Allow wikipedia.org enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'wikipedia.org' applicationMatcher: request.path.contains('index.html') tlsInspectionEnabled: trueSostituisci quanto segue:
PROJECT_ID: l'ID del progettoREGION: la regione del criterio
Crea la regola del criterio di sicurezza.
gcloud network-security gateway-security-policies rules import allow-wikipedia-org \ --source=rule.yaml \ --location=REGION \ --gateway-security-policy=policy1
Configurare un proxy web
Questa sezione spiega come eseguire il deployment di Secure Web Proxy in modalità di routing esplicito, fungendo da proxy esplicito.
Console
Nella Google Cloud console, vai alla pagina Proxy web.
Fai clic su Crea un proxy web sicuro.
Inserisci un nome per il proxy web che vuoi creare, ad esempio
myswp.Inserisci una descrizione del proxy web, ad esempio
My new swp.Per la Modalità di routing, seleziona l'opzione Esplicito.
Nell'elenco Regioni, seleziona la regione in cui vuoi creare il proxy web.
Nell'elenco Rete, seleziona la rete in cui vuoi creare il proxy web.
Nell'elenco Subnet, seleziona la sottorete in cui vuoi creare il proxy web.
(Facoltativo) Inserisci l'indirizzo IP di Secure Web Proxy. Puoi inserire un indirizzo IP dall'intervallo di indirizzi IP del proxy web sicuro che si trovano nella subnet creata nel passaggio precedente. Se non inserisci l'indirizzo IP, l'istanza di Secure Web Proxy sceglie automaticamente un indirizzo IP dalla subnet selezionata.
Nell'elenco Certificato, seleziona il certificato da utilizzare per creare il proxy web.
Nell'elenco Norma, seleziona la norma creata per associare il proxy web.
Fai clic su Crea.
Cloud Shell
Crea il file
gateway.yaml.name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/NETWORK subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK routingMode: EXPLICIT_ROUTING_MODESostituisci quanto segue:
PROJECT_ID: l'ID del tuo progettoREGION: la regione dell'istanza di Secure Web ProxyIP_ADDRESS: l'indirizzo IP della tua istanza di Secure Web ProxyNETWORK: la rete dell'istanza di Secure Web ProxySUBNETWORK: la sottorete della tua istanza Secure Web Proxy
Crea un'istanza di Secure Web Proxy basata su
gateway.yaml.gcloud network-services gateways import swp1 \ --source=gateway.yaml \ --location=REGIONIl deployment di un'istanza di Secure Web Proxy può richiedere diversi minuti.
Testa la connettività
Connettiti alla VM di cui hai eseguito il provisioning in precedenza.
gcloud compute ssh swp-test-vm \ --zone=ZONESostituisci
ZONEcon la zona dell'istanza VM di test.Testa l'istanza di Secure Web Proxy.
curl -x IP_ADDRESSSostituisci
IP_ADDRESScon l'indirizzo IP della tua istanza di Secure Web Proxy.
Esegui la pulizia
Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi.
Elimina l'istanza swp1 Secure Web Proxy
Console
Nella Google Cloud console, vai alla pagina Proxy web. Puoi visualizzare l'elenco di tutti i proxy web o solo quelli disponibili in una determinata rete.
Seleziona il proxy web che vuoi eliminare.
Fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
Cloud Shell
gcloud network-services gateways delete swp1 \
--location=REGION
Sostituisci REGION con la regione dell'istanza di Secure Web Proxy.
Elimina la regola allow-wikipedia-org
Console
Nella Google Cloud console, vai alla pagina Proxy web. Puoi visualizzare l'elenco di tutti i proxy web o solo quelli disponibili in una determinata rete.
Fai clic sul criterio.
Seleziona la regola che vuoi eliminare.
Fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
Cloud Shell
gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
--location=REGION \
--gateway-security-policy=policy1
Sostituisci REGION con la regione del criterio.
Elimina il policy1 criterio Secure Web Proxy
Console
Nella Google Cloud console, vai alla pagina Proxy web. Puoi visualizzare l'elenco di tutti i proxy web o solo quelli disponibili in una determinata rete.
Seleziona il criterio che vuoi eliminare.
Fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
Cloud Shell
gcloud network-security gateway-security-policies delete policy1 \
--location=REGION
Sostituisci REGION con la regione del criterio.
Elimina l'istanza VM Linux swp-test-vm
Console
Nella Google Cloud console, vai alla pagina Istanze VM.
Seleziona le istanze da eliminare.
Fai clic su Elimina.
Cloud Shell
gcloud compute instances delete swp-test-vm