Les tags Resource Manager vous aident à contrôler à vos ressources Google Cloud. Les tags Resource Manager vous permettent d'organiser vos ressources Google Cloud, et autoriser ou refuser des règles selon qu'une ressource possède un tag spécifique ou non. Vous pouvez utiliser les tags Resource Manager pour ajouter des tags à chaque instance de machine virtuelle (VM) par segment et par type de service. Les tags Resource Manager permettent vous identifiez de manière unique les hôtes lors de la création de stratégies de proxy Web sécurisé.
Cette page vous explique comment :
- Créez une instance de proxy Web sécurisé avec une règle vide.
- Créer des tags Resource Manager et les appliquer à des instances de VM
- Utilisez les tags Resource Manager pour créer une règle de proxy Web sécurisé.
- Créer une instance de proxy Web sécurisé
- Testez la connectivité à partir de vos VM.
Fonctionnalités compatibles
Le proxy Web sécurisé est compatible avec le filtrage du trafic basé sur des tags sécurisés pour Instances de VM et nœuds GKE (mais pas les conteneurs GKE). Chacune des Les ressources compatibles offrent également une visibilité sur tous les projets (VPC partagé), entre les limites d'un cloud privé virtuel (VPC) (Network Connectivity Center, d'appairage de réseaux VPC) et sur Private Service Connect sauts. Pour l'accès au VPC sans serveur, les tags sécurisés ne sont pas disponibles pour Appairage direct ou applications connectées au VPC. Pour ces applications, vous pouvez utiliser l'adresse IP source du connecteur VPC, n'est utilisée qu'à partir de votre environnement sans serveur.
Avant de commencer
Effectuez la configuration initiale étapes.
Demandez à un administrateur de l'organisation de vous attribuer le rôle nécessaire pour créer et mettre à jour les tags.
Vérifiez que la Google Cloud CLI version 406.0.0 ou ultérieure est installée:
gcloud version | head -n1Si une version antérieure de la gcloud CLI est installée, mettez-la à jour:
gcloud components update --version=406.0.0
Créer une instance de proxy Web sécurisé avec une règle vide
Pour créer une instance de proxy Web sécurisé, commencez par créer une règle de sécurité vide puis créer un proxy Web.
Créer une stratégie de sécurité vide
Console
Dans Google Cloud Console, accédez à la page Sécurité du réseau.
Cliquez sur Proxy Web sécurisé.
Cliquez sur l'onglet Règles.
Cliquez sur Create a policy (Créer une règle).
Saisissez un nom pour la règle que vous souhaitez créer, comme
myswppolicy.Saisissez une description de la règle, par exemple
My new swp policyDans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer la règle.
Cliquez sur Créer.
Cloud Shell
Utilisez l'éditeur de texte de votre choix pour créer le fichier.
POLICY_FILE.yaml. RemplacerPOLICY_FILEpar le nom de fichier que vous souhaitez pour le fichier de stratégie.Ajoutez le code suivant au fichier YAML que vous avez créé:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME description: POLICY_DESCRIPTIONRemplacez les éléments suivants :
PROJECT_NAME: nom de votre projetREGION: région à laquelle cette règle s'appliquePOLICY_NAME: nom de la règle que vous créationPOLICY_DESCRIPTION: description du de la règle que vous créez
Importez la stratégie de sécurité:
gcloud network-security gateway-security-policies import POLICY_NAME \ --source=POLICY_FILE.yaml \ --location=REGION
Créer un proxy Web
Console
Dans Google Cloud Console, accédez à la page Sécurité du réseau.
Cliquez sur Proxy Web sécurisé.
Cliquez sur Configurer un proxy Web.
Saisissez un nom pour le proxy Web que vous souhaitez créer, comme
myswp.Saisissez une description du proxy Web, telle que
My new swp.Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer le proxy Web.
Dans la liste Réseau, sélectionnez le réseau sur lequel vous souhaitez créer le proxy Web.
Dans la liste Sous-réseau, sélectionnez le sous-réseau sur lequel créer le proxy Web.
Saisissez l'adresse IP du proxy Web.
Dans la liste Certificat, sélectionnez le certificat de votre choix. pour créer le proxy Web.
Dans la liste Règle, sélectionnez la règle que vous avez créée. auquel associer le proxy Web.
Cliquez sur Créer.
Cloud Shell
Utilisez l'éditeur de texte de votre choix pour créer le fichier.
GATEWAY_FILE.yaml. RemplacerGATEWAY_FILEpar le nom de fichier souhaité le fichier proxy Web.Ajoutez le code suivant au fichier YAML que vous avez créé:
name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME type: SECURE_WEB_GATEWAY ports: [GATEWAY_PORT_NUMBERS] certificateUrls: [CERTIFICATE_URLS] gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME network: projects/PROJECT_NAME/global/networks/NETWORK_NAME subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME addresses: [GATEWAY_IP_ADDRESS] scope: samplescopeRemplacez les éléments suivants :
GATEWAY_NAME: nom de cette instance.GATEWAY_PORT_NUMBERS: liste de numéros de port pour cette passerelle, par exemple[80,443]CERTIFICATE_URLS: une liste de certificats SSL URLSUBNET_NAME: nom du sous-réseau contientGATEWAY_IP_ADDRESSGATEWAY_IP_ADDRESS: liste facultative d'adresses IP. pour vos instances de proxy Web sécurisé dans le proxy des sous-réseaux précédemment créés les étapes de configuration initialeSi vous choisissez de ne pas lister les adresses IP, omettez ce champ pour que le proxy Web choisisse une adresse IP pour vous.
Créez une instance de proxy Web sécurisé:
gcloud network-services gateways import GATEWAY_NAME \ --source=GATEWAY_FILE.yaml \ --location=REGION
Tester la connectivité
Pour tester la connectivité, exécutez la commande curl depuis n'importe quelle VM de votre
Réseau cloud privé virtuel (VPC) :
curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
Une erreur 403 Forbidden est attendue.
Créer et associer des tags Resource Manager
Procédez comme suit pour créer et associer des tags Resource Manager:
Créez les clés et les valeurs de tag.
Lorsque vous créez votre balise, attribuez-lui un objectif
GCE_FIREWALL. Les fonctionnalités de mise en réseau de Google Cloud, y compris le proxy Web sécurisé, nécessitentGCE_FIREWALLpour appliquer le tag. Toutefois, vous pouvez l'utiliser pour d'autres actions.
Créer des règles de proxy Web sécurisé
Pour créer des règles de proxy Web sécurisé, procédez comme suit:
Utilisez l'éditeur de texte de votre choix pour créer
RULE_FILE.yaml. RemplacerRULE_FILEpar le nom de fichier choisi.Pour autoriser l'accès à une URL à partir du tag choisi, ajoutez le code suivant au fichier YAML :
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME description: RULE_DESCRIPTION enabled: true priority: RULE_PRIORITY sessionMatcher: CEL_EXPRESSION basicProfile: ALLOWRemplacez les éléments suivants :
RULE_NAME: nom de cette règle.RULE_DESCRIPTION: description de l'élément que vous créezRULE_PRIORITY: priorité de cette règle un chiffre plus bas correspond à une priorité plus élevéeCEL_EXPRESSION: expression courante Expression de langage (CEL)Pour en savoir plus, consultez la section Outil de mise en correspondance CEL documentation de référence.
Par exemple, pour autoriser l'accès à
example.comdepuis le tag souhaité, ajoutez le code suivant au fichier YAML que vous avez créé pour lesessionMatcher:sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"Remplacez
TAG_VALUEpar le tag de votre choix. autoriser, au formattagValues/1234.Importez les règles que vous avez créées:
gcloud network-security gateway-security-policies rules import RULE_NAME \ --source=RULE_FILE.yaml \ --location=REGION \ --gateway-security-policy=POLICY_NAME
Tester la connectivité
Pour tester la connectivité, exécutez la commande curl à partir de n'importe quelle VM associée
avec la balise TAG_VALUE:
curl -x https://IPv4_ADDRESS:443 http://example.com
--proxy-insecure
Remplacez IPv4_ADDRESS par l'adresse IPv4 de votre
Instance de proxy Web sécurisé.
Étape suivante
- Créer des règles à l'aide d'une liste d'URL
- Attribuer des adresses IP statiques pour la sortie trafic