Utilizzare i tag per creare criteri

I tag di Resource Manager consentono di controllare l'accesso alle tue risorse Google Cloud. I tag di Resource Manager consentono di organizzare le risorse Google Cloud e di consentire o negare in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico. Puoi utilizzare i tag Resource Manager per codificare ogni istanza di macchina virtuale (VM) in base al segmento e al tipo di servizio. I tag di Resource Manager consentono di identificare in modo univoco gli host durante la creazione di criteri Secure Web Proxy.

Questa guida illustra come:

Crea un'istanza Secure Web Proxy con un criterio vuoto.
Crea e applica i tag di Resource Manager alle istanze VM.
Utilizza i tag Resource Manager per creare un criterio Secure Web Proxy.
Crea un'istanza Secure Web Proxy.
Testa la connettività dalle tue VM.

Prima di iniziare

Completa i passaggi della configurazione iniziale.
Chiedi a un amministratore dell'organizzazione di concederti il ruolo necessario per creare e aggiornare i tag.
Verifica di aver installato Google Cloud CLI versione 406.0.0 o successiva:
```
gcloud version | head -n1
```
Se hai installato una versione precedente gcloud CLI, aggiornala:
```
gcloud components update --version=406.0.0
```

Crea un'istanza Secure Web Proxy con un criterio vuoto

Per creare un'istanza Secure Web Proxy, devi prima creare un criterio di sicurezza vuoto, quindi creare un proxy web.

Crea un criterio di sicurezza vuoto

Console

Nella console Google Cloud, vai alla pagina Sicurezza della rete.

Vai a Sicurezza di rete
Fai clic su Secure Web Proxy.
Fai clic sulla scheda Norme.
Fai clic su Crea un criterio.
Inserisci un nome per il criterio che vuoi creare, ad esempio myswppolicy.
Inserisci una descrizione del criterio, ad esempio My new swp policy.
Nell'elenco Regioni, seleziona la regione in cui vuoi creare il criterio.
Fai clic su Crea.

Cloud Shell

Utilizza il tuo editor di testo preferito per creare il file POLICY_FILE.yaml. Sostituisci POLICY_FILE con il nome del file che vuoi per il file dei criteri.
Aggiungi quanto segue al file YAML che hai creato:
```
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION
```
Sostituisci quanto segue:
- PROJECT_NAME: il nome del progetto
- REGION: la regione a cui si applica questo criterio
- POLICY_NAME: il nome del criterio che stai creando
- POLICY_DESCRIPTION: la descrizione del criterio che stai creando

Importa il criterio di sicurezza:

gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

Crea un proxy web

Console

Nella console Google Cloud, vai alla pagina Sicurezza della rete.

Vai a Sicurezza di rete
Fai clic su Secure Web Proxy.
Fai clic su Configura un proxy web.
Inserisci un nome per il proxy web che vuoi creare, ad esempio myswp.
Inserisci una descrizione del proxy web, ad esempio My new swp.
Nell'elenco Regioni, seleziona la regione in cui vuoi creare il proxy web.
Nell'elenco Rete, seleziona la rete in cui vuoi creare il proxy web.
Nell'elenco Subnet, seleziona la subnet in cui vuoi creare il proxy web.
Inserisci l'indirizzo IP del proxy web.
Nell'elenco Certificato, seleziona il certificato che desideri utilizzare per creare il proxy web.
Nell'elenco Criterio, seleziona il criterio che hai creato per associare il proxy web.
Fai clic su Crea.

Cloud Shell

Utilizza il tuo editor di testo preferito per creare il file GATEWAY_FILE.yaml. Sostituisci GATEWAY_FILE con il nome file che vuoi per il file proxy web.
Aggiungi quanto segue al file YAML che hai creato:
```
name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope
```
Sostituisci quanto segue:
- GATEWAY_NAME: il nome dell'istanza
- GATEWAY_PORT_NUMBERS: un elenco di numeri di porta per questo gateway, ad esempio [80,443]
- CERTIFICATE_URLS: un elenco di URL dei certificati SSL
- SUBNET_NAME: il nome della subnet che contiene GATEWAY_IP_ADDRESS
  
  Importante: questa subnet non è solo proxy che hai creato in precedenza. Deve essere una subnet di tipo PRIVATE.
- GATEWAY_IP_ADDRESS: un elenco facoltativo di indirizzi IP per le istanze Secure Web Proxy all'interno delle subnet proxy create in precedenza nella procedura di configurazione iniziale
  
  Se scegli di non elencare gli indirizzi IP, ometti il campo per fare in modo che il proxy web scelga un indirizzo IP per te.

Crea un'istanza Secure Web Proxy:

gcloud network-services gateways import GATEWAY_NAME \
    --source=GATEWAY_FILE.yaml \
    --location=REGION

Testa la connettività

Per testare la connettività, utilizza il comando curl da qualsiasi VM all'interno della tua rete VPC (Virtual Private Cloud):

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

È previsto un errore 403 Forbidden.

Crea e collega i tag di Resource Manager

Per creare e collegare tag di Resource Manager, procedi nel seguente modo:

Crea le chiavi e i valori dei tag.

Quando crei il tag, definiscilo con uno scopo GCE_FIREWALL. Le funzionalità di networking di Google Cloud, incluso Secure Web Proxy, richiedono lo scopo GCE_FIREWALL per applicare il tag. Tuttavia, puoi utilizzarlo per altre azioni.
Associa i tag alle istanze VM.

Crea regole Secure Web Proxy

Per creare regole Secure Web Proxy, segui questi passaggi:

Utilizza il tuo editor di testo preferito per creare un file RULE_FILE.yaml. Sostituisci RULE_FILE con il nome file che preferisci.
Per consentire l'accesso a un URL dal tag desiderato, aggiungi quanto segue al file YAML:
```
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
description: RULE_DESCRIPTION
enabled: true
priority: RULE_PRIORITY
sessionMatcher: CEL_EXPRESSION
basicProfile: ALLOW
```
Sostituisci quanto segue:
- RULE_NAME: un nome per questa regola
- RULE_DESCRIPTION: una descrizione della regola che stai creando
- RULE_PRIORITY: la priorità per questa regola; un numero inferiore corrisponde a una priorità più alta
- CEL_EXPRESSION: un'espressione CEL (Common Expression Language)
  
  Per ulteriori informazioni, consulta la sezione Riferimento per la lingua del matcher CEL.
Ad esempio, per consentire l'accesso a example.com dal tag desiderato, aggiungi quanto segue al file YAML che hai creato per sessionMatcher:
```
sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"
```
Sostituisci TAG_VALUE con il tag che vuoi consentire, nel formato tagValues/1234.

Importa le regole che hai creato:

gcloud network-security gateway-security-policies rules import RULE_NAME \
   --source=RULE_FILE.yaml \
   --location=REGION \
   --gateway-security-policy=POLICY_NAME

Testa la connettività

Per testare la connettività, utilizza il comando curl da qualsiasi VM associata al tag TAG_VALUE:

curl -x https://IPv4_ADDRESS:443 http://example.com
--proxy-insecure

Sostituisci IPv4_ADDRESS con l'indirizzo IPv4 della tua istanza Secure Web Proxy.

Utilizzare i tag per creare criteri

Prima di iniziare

Crea un'istanza Secure Web Proxy con un criterio vuoto

Crea un criterio di sicurezza vuoto

Console

Cloud Shell

Crea un proxy web

Console

Cloud Shell

Testa la connettività

Crea e collega i tag di Resource Manager

Crea regole Secure Web Proxy

Testa la connettività

Passaggi successivi