Las etiquetas de Resource Manager ayudan a controlar el acceso a tus recursos de Google Cloud. Las etiquetas de Resource Manager te permiten organizar tus recursos de Google Cloud y políticas de permiso o denegación de forma condicional en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas de Resource Manager para etiquetar cada instancia de máquina virtual (VM) por segmento y tipo de servicio. Las etiquetas de Resource Manager te permiten identificar de forma única los hosts cuando creas políticas de proxy web seguro.
Esta guía te muestra cómo hacer lo siguiente:
- Crea una instancia de proxy web seguro con una política vacía.
- Crear y aplicar etiquetas de Resource Manager a las instancias de VM
- Usa las etiquetas de Resource Manager para crear una política de proxy web seguro.
- Crea una instancia de proxy web seguro.
- Prueba la conectividad desde tus VMs.
Antes de comenzar
Completa los pasos iniciales de la configuración.
Haz que un administrador de la organización te otorgue el rol necesario para crear y actualizar etiquetas.
Verifica que tengas instalada la versión 406.0.0 o posterior de Google Cloud CLI:
gcloud version | head -n1
Si tienes instalada una versión anterior de gcloud CLI, actualízala:
gcloud components update --version=406.0.0
Crea una instancia de proxy web seguro con una política vacía
Para crear una instancia de proxy web seguro, primero crea una política de seguridad vacía y, luego, crea un proxy web.
Crea una política de seguridad vacía
Consola
En la consola de Google Cloud, ve a la página Seguridad de red.
Haz clic en Proxy web seguro.
Haz clic en la pestaña Políticas.
Haz clic en Crear una política.
Ingresa un nombre para la política que deseas crear, como
myswppolicy
.Ingresa una descripción de la política, como
My new swp policy
.En la lista Regiones, selecciona la región en la que deseas crear la política.
Haz clic en Crear.
Cloud Shell
Usa tu editor de texto preferido para crear el archivo
POLICY_FILE
.yaml. ReemplazaPOLICY_FILE
por el nombre de archivo que deseas para el archivo de políticas.Agrega lo siguiente al archivo YAML que creaste:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME description: POLICY_DESCRIPTION
Reemplaza lo siguiente:
PROJECT_NAME
: nombre del proyecto.REGION
: Es la región a la que se aplica esta política.POLICY_NAME
: Es el nombre de la política que estás creando.POLICY_DESCRIPTION
: Es la descripción de la política que creas.
Importa la política de seguridad:
gcloud network-security gateway-security-policies import POLICY_NAME \ --source=POLICY_FILE.yaml \ --location=REGION
Crea un proxy web
Consola
En la consola de Google Cloud, ve a la página Seguridad de red.
Haz clic en Proxy web seguro.
Haz clic en Configurar un proxy web.
Ingresa un nombre para el proxy web que deseas crear, como
myswp
.Ingresa una descripción del proxy web, como
My new swp
.En la lista Regiones, selecciona la región en la que deseas crear el proxy web.
En la lista Red, selecciona la red en la que deseas crear el proxy web.
En la lista Subred, selecciona la subred en la que deseas crear el proxy web.
Ingresa la dirección IP del proxy web.
En la lista Certificado, selecciona el certificado que deseas usar para crear el proxy web.
En la lista Política, selecciona la política que creaste para asociar el proxy web.
Haz clic en Crear.
Cloud Shell
Usa tu editor de texto preferido para crear el archivo
GATEWAY_FILE
.yaml. ReemplazaGATEWAY_FILE
por el nombre de archivo que deseas para el archivo de proxy web.Agrega lo siguiente al archivo YAML que creaste:
name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME type: SECURE_WEB_GATEWAY ports: [GATEWAY_PORT_NUMBERS] certificateUrls: [CERTIFICATE_URLS] gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME network: projects/PROJECT_NAME/global/networks/NETWORK_NAME subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME addresses: [GATEWAY_IP_ADDRESS] scope: samplescope
Reemplaza lo siguiente:
GATEWAY_NAME
: Es el nombre de esta instancia.GATEWAY_PORT_NUMBERS
: Es una lista de números de puerto para esta puerta de enlace, como[80,443]
.CERTIFICATE_URLS
: Una lista de URLs de certificados SSLSUBNET_NAME
: Es el nombre de la subred que contieneGATEWAY_IP_ADDRESS
.GATEWAY_IP_ADDRESS
: Es una lista opcional de direcciones IP para las instancias de proxy web seguro dentro de las subredes de proxy creadas con anterioridad en los pasos de configuración iniciales.Si decides no enumerar las direcciones IP, omite el campo para que el proxy web elija una dirección IP por ti.
Crea una instancia de proxy web seguro:
gcloud network-services gateways import GATEWAY_NAME \ --source=GATEWAY_FILE.yaml \ --location=REGION
Pruebe la conectividad
Para probar la conectividad, usa el comando curl
desde cualquier VM dentro de tu red de nube privada virtual (VPC):
curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
Se espera un error 403 Forbidden
.
Crea y adjunta etiquetas de Resource Manager
Haz lo siguiente para crear y adjuntar etiquetas de Resource Manager:
Crea las claves y los valores de las etiquetas.
Cuando crees tu etiqueta, elígela con un propósito
GCE_FIREWALL
. Las funciones de herramientas de redes de Google Cloud, incluido el proxy web seguro, requieren el propósitoGCE_FIREWALL
para aplicar la etiqueta. Sin embargo, puedes usar la etiqueta para otras acciones.
Crea reglas de proxy web seguro
Para crear reglas de proxy web seguro, haz lo siguiente:
Usa tu editor de texto preferido para crear un archivo
RULE_FILE
.yaml. ReemplazaRULE_FILE
por el nombre del archivo que desees.Para permitir el acceso a una URL desde la etiqueta deseada, agrega lo siguiente al archivo YAML:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME description: RULE_DESCRIPTION enabled: true priority: RULE_PRIORITY sessionMatcher: CEL_EXPRESSION basicProfile: ALLOW
Reemplaza lo siguiente:
RULE_NAME
: Es un nombre para esta regla.RULE_DESCRIPTION
: Es una descripción para la regla que creas.RULE_PRIORITY
: Es la prioridad de esta regla. Un número menor corresponde a una prioridad más alta.CEL_EXPRESSION
: Es una expresión de Common Expression Language (CEL).Para obtener más información, consulta la referencia del lenguaje del comparador CEL.
Por ejemplo, para permitir el acceso a
example.com
desde la etiqueta deseada, agrega lo siguiente al archivo YAML que creaste parasessionMatcher
:sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"
Reemplaza
TAG_VALUE
por la etiqueta que deseas permitir, con el formatotagValues/1234
.Importa las reglas que creaste:
gcloud network-security gateway-security-policies rules import RULE_NAME \ --source=RULE_FILE.yaml \ --location=REGION \ --gateway-security-policy=POLICY_NAME
Pruebe la conectividad
Para probar la conectividad, usa el comando curl
desde cualquier VM asociada con la etiqueta TAG_VALUE
:
curl -x https://IPv4_ADDRESS:443 http://example.com
--proxy-insecure
Reemplaza IPv4_ADDRESS
por la dirección IPv4 de tu instancia de proxy web seguro.
¿Qué sigue?
- Cómo usar una lista de URLs para crear políticas
- Asigna direcciones IP estáticas para el tráfico de salida