Mit Resource Manager-Tags können Sie den Zugriff auf Ihre Google Cloud-Ressourcen steuern. Mit Resource Manager-Tags können Sie Ihre Google Cloud-Ressourcen organisieren und Richtlinien je nachdem, ob eine Ressource ein bestimmtes Tag hat, zulassen oder ablehnen. Mit Resource Manager-Tags können Sie jede VM-Instanz nach Segment und Diensttyp taggen. Mit Resource Manager-Tags können Sie Hosts beim Erstellen von Secure Web Proxy-Richtlinien eindeutig identifizieren.
Diese Seite enthält Anleitungen für Folgendes:
- Erstellen Sie eine Secure Web Proxy-Instanz mit einer leeren Richtlinie.
- Resource Manager-Tags erstellen und auf VM-Instanzen anwenden
- Verwenden Sie Resource Manager-Tags, um eine Secure Web Proxy-Richtlinie zu erstellen.
- Erstellen Sie eine Secure Web Proxy-Instanz.
- Verbindung von Ihren VMs testen
Hinweise
Schließen Sie die Ersteinrichtungsschritte ab.
Lassen Sie sich von einem Organisationsadministrator die erforderliche Rolle zum Erstellen und Aktualisieren von Tags zuweisen.
Prüfen Sie, ob Sie die Google Cloud CLI 406.0.0 oder höher installiert haben:
gcloud version | head -n1
Wenn Sie eine frühere Version der gcloud CLI installiert haben, aktualisieren Sie die Version:
gcloud components update --version=406.0.0
Secure Web Proxy-Instanz mit einer leeren Richtlinie erstellen
Zum Erstellen einer Secure Web Proxy-Instanz erstellen Sie zuerst eine leere Sicherheitsrichtlinie und dann einen Web-Proxy.
Leere Sicherheitsrichtlinie erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Secure Web Proxy.
Klicken Sie auf den Tab Richtlinien.
Klicken Sie auf Richtlinie erstellen.
Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, z. B.
myswppolicy
.Geben Sie eine Beschreibung der Richtlinie ein, z. B.
My new swp policy
.Wählen Sie in der Liste Regionen die Region aus, in der Sie die Richtlinie erstellen möchten.
Klicken Sie auf Erstellen.
Cloud Shell
Erstellen Sie die Datei
POLICY_FILE
.yaml mit Ihrem bevorzugten Texteditor. Ersetzen SiePOLICY_FILE
durch den Dateinamen, den Sie für die Richtliniendatei verwenden möchten.Fügen Sie der erstellten YAML-Datei Folgendes hinzu:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME description: POLICY_DESCRIPTION
Ersetzen Sie Folgendes:
PROJECT_NAME
: Name Ihres ProjektsREGION
: die Region, für die diese Richtlinie giltPOLICY_NAME
: der Name der Richtlinie, die Sie erstellenPOLICY_DESCRIPTION
: die Beschreibung der Richtlinie, die Sie erstellen
Sicherheitsrichtlinie importieren:
gcloud network-security gateway-security-policies import POLICY_NAME \ --source=POLICY_FILE.yaml \ --location=REGION
Web-Proxy erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Secure Web Proxy.
Klicken Sie auf Web-Proxy einrichten.
Geben Sie einen Namen für den Web-Proxy ein, den Sie erstellen möchten, z. B.
myswp
.Geben Sie eine Beschreibung des Web-Proxys ein, z. B.
My new swp
.Wählen Sie in der Liste Regionen die Region aus, in der Sie den Web-Proxy erstellen möchten.
Wählen Sie in der Liste Netzwerk das Netzwerk aus, in dem Sie den Web-Proxy erstellen möchten.
Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, in dem Sie den Web-Proxy erstellen möchten.
Geben Sie die IP-Adresse des Web-Proxys ein.
Wählen Sie in der Liste Zertifikat das Zertifikat aus, das Sie zum Erstellen des Web-Proxys verwenden möchten.
Wählen Sie in der Liste Richtlinie die Richtlinie aus, die Sie erstellt haben, um den Web-Proxy zu verknüpfen.
Klicken Sie auf Erstellen.
Cloud Shell
Erstellen Sie die Datei
GATEWAY_FILE
.yaml mit Ihrem bevorzugten Texteditor. Ersetzen SieGATEWAY_FILE
durch den gewünschten Dateinamen für die Web-Proxy-Datei.Fügen Sie der erstellten YAML-Datei Folgendes hinzu:
name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME type: SECURE_WEB_GATEWAY ports: [GATEWAY_PORT_NUMBERS] certificateUrls: [CERTIFICATE_URLS] gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME network: projects/PROJECT_NAME/global/networks/NETWORK_NAME subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME addresses: [GATEWAY_IP_ADDRESS] scope: samplescope
Ersetzen Sie Folgendes:
GATEWAY_NAME
: der Name für diese InstanzGATEWAY_PORT_NUMBERS
: eine Liste von Portnummern für dieses Gateway, z. B.[80,443]
CERTIFICATE_URLS
: eine Liste von SSL-Zertifikat-URLsSUBNET_NAME
: der Name des Subnetzes, dasGATEWAY_IP_ADDRESS
enthältGATEWAY_IP_ADDRESS
: eine optionale Liste von IP-Adressen für Ihre Secure Web Proxy-Instanzen in den Proxy-Subnetzen, die zuvor in den ersten Einrichtungsschritten erstellt wurdenWenn Sie keine IP-Adressen auflisten möchten, lassen Sie das Feld weg, damit der Web-Proxy eine IP-Adresse für Sie auswählt.
Erstellen Sie eine Secure Web Proxy-Instanz:
gcloud network-services gateways import GATEWAY_NAME \ --source=GATEWAY_FILE.yaml \ --location=REGION
Verbindung testen
Testen Sie die Konnektivität mit dem Befehl curl
von einer beliebigen VM in Ihrem VPC-Netzwerk (Virtual Private Cloud):
curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
Ein 403 Forbidden
-Fehler wird erwartet.
Resource Manager-Tags erstellen und anhängen
So erstellen und hängen Sie Resource Manager-Tags an:
Erstellen Sie die Tag-Schlüssel und -Werte.
Legen Sie beim Erstellen des Tags den Zweck
GCE_FIREWALL
fest. Google Cloud-Netzwerkfeatures wie Secure Web Proxy erfordern den ZweckGCE_FIREWALL
, um das Tag anzuwenden. Sie können das Tag jedoch auch für andere Aktionen verwenden.
Regeln für Secure Web Proxy erstellen
So erstellen Sie Secure Web Proxy-Regeln:
Verwenden Sie Ihren bevorzugten Texteditor, um eine
RULE_FILE
.yaml-Datei zu erstellen. Ersetzen SieRULE_FILE
durch den gewünschten Dateinamen.Fügen Sie der YAML-Datei Folgendes hinzu, um den Zugriff auf eine URL vom gewünschten Tag aus zuzulassen:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME description: RULE_DESCRIPTION enabled: true priority: RULE_PRIORITY sessionMatcher: CEL_EXPRESSION basicProfile: ALLOW
Ersetzen Sie Folgendes:
RULE_NAME
: ein Name für diese RegelRULE_DESCRIPTION
: eine Beschreibung der Regel, die Sie erstellenRULE_PRIORITY
: die Priorität für diese Regel; eine niedrigere Zahl entspricht einer höheren PrioritätCEL_EXPRESSION
: ein CEL-Ausdruck (Common Expression Language)Weitere Informationen finden Sie in der Sprachreferenz für CEL-Matcher.
Wenn Sie beispielsweise den Zugriff auf
example.com
vom gewünschten Tag aus zulassen möchten, fügen Sie der YAML-Datei, die Sie fürsessionMatcher
erstellt haben, Folgendes hinzu:sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"
Ersetzen Sie
TAG_VALUE
durch das Tag im FormattagValues/1234
, das Sie zulassen möchten.Importieren Sie die erstellten Regeln:
gcloud network-security gateway-security-policies rules import RULE_NAME \ --source=RULE_FILE.yaml \ --location=REGION \ --gateway-security-policy=POLICY_NAME
Verbindung testen
Testen Sie die Konnektivität mit dem Befehl curl
von einer beliebigen VM, die mit dem Tag TAG_VALUE
verknüpft ist:
curl -x https://IPv4_ADDRESS:443 http://example.com
--proxy-insecure
Ersetzen Sie IPv4_ADDRESS
durch die IPv4-Adresse Ihrer Secure Web Proxy-Instanz.
Nächste Schritte
- URL-Liste zum Erstellen von Richtlinien verwenden
- Statische IP-Adressen für ausgehenden Traffic zuweisen