As tags do Resource Manager ajudam a controlar o acesso aos recursos do Google Cloud. As tags do Resource Manager permitem organizar os recursos do Google Cloud e permitir ou negar políticas condicionalmente com base no fato de um recurso ter ou não uma tag específica. É possível usar tags do Resource Manager para marcar cada instância de máquina virtual (VM) por segmento e tipo de serviço. As tags do Resource Manager permitem identificar hosts de maneira exclusiva ao criar políticas do Secure Web Proxy.
Neste guia, você aprende as seguintes ações com relação à verificação de tempo de atividade:
- Criar uma instância do Secure Web Proxy com uma política vazia.
- Criar e aplicar tags do Resource Manager a instâncias de VM.
- Usar tags do Resource Manager para criar uma política do Secure Web Proxy.
- Criar uma instância do Secure Web Proxy.
- Testar a conectividade das suas VMs.
Antes de começar
Conclua as etapas iniciais de configuração.
Peça a um administrador da organização para conceder a você o papel necessário para criar e atualizar tags.
Verifique se você tem a versão 406.0.0 ou mais recente do Google Cloud CLI instalada:
gcloud version | head -n1
Se você tiver uma versão anterior da CLI gcloud instalada, atualize-a:
gcloud components update --version=406.0.0
Criar uma instância do Secure Web Proxy com uma política vazia
Para criar uma instância do Secure Web Proxy, primeiro crie uma política de segurança vazia e depois crie um proxy da Web.
Criar uma política de segurança vazia
Console
No Console do Google Cloud, acesse a página Segurança de rede.
Clique em Secure Web Proxy.
Clique na guia Políticas.
Clique em Criar uma política.
Digite um nome para a política que você quer criar, como
myswppolicy
.Insira uma descrição da política, como
My new swp policy
.Na lista Regiões, selecione a região em que você quer criar a política.
Clique em Criar.
Cloud Shell
Use o editor de texto de sua preferência para criar o arquivo
POLICY_FILE
.yaml. SubstituaPOLICY_FILE
pelo nome do arquivo que você quer para o arquivo de política.Adicione o seguinte ao arquivo YAML que você criou:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME description: POLICY_DESCRIPTION
Substitua:
PROJECT_NAME
: o nome do projeto.REGION
: a região a que esta política se aplica.POLICY_NAME
: o nome da política que você está criando.POLICY_DESCRIPTION
: a descrição da política que você está criando.
Importe a política de segurança:
gcloud network-security gateway-security-policies import POLICY_NAME \ --source=POLICY_FILE.yaml \ --location=REGION
Criar um proxy da Web
Console
No Console do Google Cloud, acesse a página Segurança de rede.
Clique em Secure Web Proxy.
Clique em Configurar um proxy da Web.
Digite um nome para o proxy da Web que você quer criar, como
myswp
.Digite uma descrição do proxy da Web, como
My new swp
.Na lista Regiões, selecione a região em que você quer criar o proxy da Web.
Na lista Rede, selecione a rede em que você quer criar o proxy da Web.
Na lista Sub-rede, selecione a sub-rede em que você quer criar o proxy da Web.
Digite o endereço IP do proxy da Web.
Na lista Certificado, selecione o certificado que você quer usar para criar o proxy da Web.
Na lista Política, selecione a opção que você criou para associar o proxy da Web.
Clique em Criar.
Cloud Shell
Use o editor de texto de sua preferência para criar o arquivo
GATEWAY_FILE
.yaml. SubstituaGATEWAY_FILE
pelo nome do arquivo que você quer para o arquivo proxy da Web.Adicione o seguinte ao arquivo YAML que você criou:
name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME type: SECURE_WEB_GATEWAY ports: [GATEWAY_PORT_NUMBERS] certificateUrls: [CERTIFICATE_URLS] gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME network: projects/PROJECT_NAME/global/networks/NETWORK_NAME subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME addresses: [GATEWAY_IP_ADDRESS] scope: samplescope
Substitua:
GATEWAY_NAME
: o nome da instância.GATEWAY_PORT_NUMBERS
: uma lista de números de porta para esse gateway, como[80,443]
CERTIFICATE_URLS
: uma lista de URLs de certificado SSLSUBNET_NAME
: o nome da sub-rede que contémGATEWAY_IP_ADDRESS
.GATEWAY_IP_ADDRESS
: uma lista opcional de endereços IP para suas instâncias do Secure Web Proxy nas sub-redes de proxy criadas anteriormente nas etapas iniciais de configuração.Se você optar por não listar os endereços IP, omita o campo para que o proxy da Web escolha um endereço IP para você.
Crie uma instância do Secure Web Proxy:
gcloud network-services gateways import GATEWAY_NAME \ --source=GATEWAY_FILE.yaml \ --location=REGION
testar a conectividade
Para testar a conectividade, use o comando curl
de qualquer VM na sua
rede de nuvem privada virtual (VPC):
curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
É esperado um erro 403 Forbidden
.
Criar e anexar tags do Resource Manager
Faça o seguinte para criar e anexar tags do Resource Manager:
Crie as chaves e os valores de tag.
Ao criar sua tag, defina-a com a finalidade
GCE_FIREWALL
. Os recursos de rede do Google Cloud, incluindo o Secure Web Proxy, exigem a finalidadeGCE_FIREWALL
para aplicar a tag. No entanto, ela pode ser usada para outras ações.
Criar regras do Secure Web Proxy
Para criar regras do Secure Web Proxy, faça o seguinte:
Use o editor de texto de sua preferência para criar um arquivo
RULE_FILE
.yaml. SubstituaRULE_FILE
pelo nome de arquivo escolhido.Para permitir o acesso a um URL da tag escolhida, adicione o seguinte ao arquivo YAML:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME description: RULE_DESCRIPTION enabled: true priority: RULE_PRIORITY sessionMatcher: CEL_EXPRESSION basicProfile: ALLOW
Substitua:
RULE_NAME
: um nome para esta regra.RULE_DESCRIPTION
: uma descrição para a regra que você está criando.RULE_PRIORITY
: a prioridade da regra. Um número menor corresponde a uma prioridade mais alta.CEL_EXPRESSION
: uma expressão Common Expression Language (CEL)Para mais informações, consulte a Referência da linguagem de correspondência do CEL.
Por exemplo, para permitir acesso a
example.com
pela tag desejada, adicione o seguinte ao arquivo YAML criado parasessionMatcher
:sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"
Substitua
TAG_VALUE
pela tag que você quer permitir, no formatotagValues/1234
.Importe as regras que você criou:
gcloud network-security gateway-security-policies rules import RULE_NAME \ --source=RULE_FILE.yaml \ --location=REGION \ --gateway-security-policy=POLICY_NAME
testar a conectividade
Para testar a conectividade, use o comando curl
de qualquer VM associada
à tag TAG_VALUE
:
curl -x https://IPv4_ADDRESS:443 http://example.com
--proxy-insecure
Substitua IPv4_ADDRESS
pelo endereço IPv4 da sua instância do Secure Web Proxy.