Tags zum Erstellen von Richtlinien verwenden

Mit Resource Manager-Tags können Sie Zugriff auf Ihre Google Cloud-Ressourcen. Mit Resource Manager-Tags können Sie Ihre Google Cloud-Ressourcen verwalten und Richtlinien bedingt zulassen oder ablehnen je nachdem, ob eine Ressource ein bestimmtes Tag hat. Mit Resource Manager-Tags können Sie Jede VM-Instanz nach Segment und Diensttyp taggen Mit Resource Manager-Tags Hosts werden beim Erstellen von Secure Web Proxy-Richtlinien eindeutig identifiziert.

Diese Seite enthält Anleitungen für Folgendes:

  • Erstellen Sie eine Secure Web Proxy-Instanz mit einer leeren Richtlinie.
  • Resource Manager-Tags erstellen und auf VM-Instanzen anwenden.
  • Verwenden Sie Resource Manager-Tags, um eine Secure Web Proxy-Richtlinie zu erstellen.
  • Erstellen Sie eine Secure Web Proxy-Instanz.
  • Testen Sie die Verbindung von Ihren VMs.

Unterstützte Funktionen

Secure Web Proxy unterstützt sicheres Tag-basiertes Filtern von Traffic für VM-Instanzen und GKE-Knoten (aber keine GKE-Container). Jede der der unterstützten Ressourcen sind auch projektübergreifend sichtbar (freigegebene VPC), über VPC-Grenzen hinweg (Network Connectivity Center, VPC-Netzwerk-Peering) und in Private Service Connect Sprünge. Beim serverlosen VPC-Zugriff sind keine sicheren Tags verfügbar für Direct Peering oder VPC-verbundene Anwendungen Bei diesen Anwendungen können Sie die Quell-IP-Adresse des VPC-Connector wird nur aus Ihrer serverlosen Umgebung verwendet.

Hinweise

Secure Web Proxy-Instanz mit einer leeren Richtlinie erstellen

Erstellen Sie zuerst eine leere Sicherheitsrichtlinie, um eine Secure Web Proxy-Instanz zu erstellen und dann einen Web-Proxy erstellen.

Leere Sicherheitsrichtlinie erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Secure Web Proxy.

  3. Klicken Sie auf den Tab Richtlinien.

  4. Klicken Sie auf Richtlinie erstellen.

  5. Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, wie myswppolicy.

  6. Geben Sie eine Beschreibung der Richtlinie ein, z. B. My new swp policy

  7. Wählen Sie in der Liste Regionen die Region aus, in der Sie den erstellen Sie die Richtlinie.

  8. Klicken Sie auf Erstellen.

Cloud Shell

  1. Verwenden Sie Ihren bevorzugten Texteditor, um die Datei zu erstellen. POLICY_FILE.yaml. Ersetzen POLICY_FILE durch den Dateinamen, der für die Richtliniendatei.

  2. Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

    Ersetzen Sie Folgendes:

    • PROJECT_NAME: Name Ihres Projekts
    • REGION: Region, für die diese Richtlinie gilt
    • POLICY_NAME: der Name Ihrer Richtlinie wird erstellt
    • POLICY_DESCRIPTION: die Beschreibung des die Sie erstellen,

  3. Importieren Sie die Sicherheitsrichtlinie:

    gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

Web-Proxy erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Secure Web Proxy.

  3. Klicken Sie auf Web-Proxy einrichten.

  4. Geben Sie einen Namen für den zu erstellenden Web-Proxy ein. wie myswp.

  5. Geben Sie eine Beschreibung des Web-Proxys ein, z. B. My new swp.

  6. Wählen Sie in der Liste Regionen die Region aus, in der Sie den Erstellen Sie den Web-Proxy.

  7. Wählen Sie in der Liste Netzwerk das Netzwerk aus, für das Sie Erstellen Sie den Web-Proxy.

  8. Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, für das Sie Erstellen Sie den Web-Proxy.

  9. Geben Sie die IP-Adresse des Web-Proxys ein.

  10. Wählen Sie in der Liste Zertifikat das gewünschte Zertifikat aus. zum Erstellen des Web-Proxys.

  11. Wähle in der Liste Richtlinie die Richtlinie aus, die du erstellt hast. mit dem der Web-Proxy verknüpft werden soll.

  12. Klicken Sie auf Erstellen.

Cloud Shell

  1. Verwenden Sie Ihren bevorzugten Texteditor, um die Datei zu erstellen. GATEWAY_FILE.yaml. Ersetzen GATEWAY_FILE durch den Dateinamen, den Sie für die Web-Proxy-Datei.

  2. Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

    Ersetzen Sie Folgendes:

    • GATEWAY_NAME: der Name für diese Instanz
    • GATEWAY_PORT_NUMBERS: eine Liste der Portnummern für dieses Gateway, z. B. [80,443]
    • CERTIFICATE_URLS: eine Liste von SSL-Zertifikaten URLs

    • SUBNET_NAME ist der Name des Subnetzes, das enthält GATEWAY_IP_ADDRESS

    • GATEWAY_IP_ADDRESS: eine optionale Liste von IP-Adressen Adressen für Ihre Secure Web Proxy-Instanzen innerhalb des Proxys Subnetze, die zuvor im Ersteinrichtungsschritte

      Wenn Sie keine IP-Adressen auflisten, lassen Sie das Feld aus, damit der Web-Proxy eine IP-Adresse für Sie auswählt.

  3. Erstellen Sie eine Secure Web Proxy-Instanz:

    gcloud network-services gateways import GATEWAY_NAME \
    --source=GATEWAY_FILE.yaml \
    --location=REGION

Verbindung testen

Testen Sie die Verbindung mit dem Befehl curl auf einer beliebigen VM in Ihrem VPC-Netzwerk (Virtual Private Cloud):

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

Es wird ein 403 Forbidden-Fehler erwartet.

Resource Manager-Tags erstellen und anhängen

So erstellen und hängen Sie Resource Manager-Tags an:

  1. Erstellen Sie die Tag-Schlüssel und -Werte.

    Legen Sie das Tag beim Erstellen mit dem Zweck GCE_FIREWALL fest. Für Google Cloud-Netzwerkfunktionen wie Secure Web Proxy ist die GCE_FIREWALL-Zweck, um das Tag anzuwenden. Sie können das Tag jedoch anderen Aktionen.

  2. Binden Sie Tags an VM-Instanzen.

Secure Web Proxy-Regeln erstellen

So erstellen Sie Secure Web Proxy-Regeln:

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor ein RULE_FILE.yaml-Datei angegeben werden. Ersetzen RULE_FILE durch den ausgewählten Dateinamen.

  2. Fügen Sie der YAML-Datei Folgendes hinzu, um den Zugriff auf eine URL über das ausgewählte Tag zu ermöglichen Datei:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
description: RULE_DESCRIPTION
enabled: true
priority: RULE_PRIORITY
sessionMatcher: CEL_EXPRESSION
basicProfile: ALLOW

    Ersetzen Sie Folgendes:

    • RULE_NAME: ein Name für diese Regel
    • RULE_DESCRIPTION: eine Beschreibung für das Regel erstellen, die Sie erstellen,
    • RULE_PRIORITY: Priorität dieser Regel Eine niedrigere Zahl entspricht einer höheren Priorität.

    • CEL_EXPRESSION: ein häufiger Ausdruck Sprachausdruck (CEL)

      Weitere Informationen finden Sie unter CEL-Matcher. Sprachreferenz.

    Um beispielsweise den Zugriff auf example.com über die gewünschten Tag möchten, fügen Sie Folgendes in die YAML-Datei ein, die Sie für den sessionMatcher:

    sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"

    Ersetzen Sie TAG_VALUE durch das Tag, das Sie verwenden möchten. „allow“ im Format tagValues/1234.

  3. Importieren Sie die von Ihnen erstellten Regeln:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
   --source=RULE_FILE.yaml \
   --location=REGION \
   --gateway-security-policy=POLICY_NAME

Verbindung testen

Testen Sie die Verbindung mit dem Befehl curl von jeder verknüpften VM aus. mit dem TAG_VALUE-Tag:

curl -x https://IPv4_ADDRESS:443 http://example.com 
--proxy-insecure

Ersetzen Sie IPv4_ADDRESS durch die IPv4-Adresse Ihres Secure Web Proxy-Instanz.

Nächste Schritte