Utilizzare i tag per creare criteri

I tag di Resource Manager aiutano a controllare alle tue risorse Google Cloud. I tag Resource Manager consentono di organizzare le tue risorse Google Cloud e i criteri di autorizzazione o negazione in modo condizionale a seconda che una risorsa abbia un tag specifico. Puoi usare i tag Resource Manager codifica ogni istanza di macchina virtuale (VM) per segmento e tipo di servizio. I tag Resource Manager identificare in modo univoco gli host durante la creazione dei criteri di Secure Web Proxy.

Questa guida illustra come:

  • Crea un'istanza Secure Web Proxy con un criterio vuoto.
  • Creare e applicare tag Resource Manager alle istanze VM.
  • Utilizza i tag Resource Manager per creare un criterio Secure Web Proxy.
  • Creare un'istanza Secure Web Proxy.
  • Testa la connettività dalle tue VM.

Funzionalità supportate

Secure Web Proxy supporta il filtro sicuro basato su tag del traffico per Istanze VM e nodi GKE (ma non i container GKE). Ciascuno dei e le risorse supportate possono essere visualizzate anche su più progetti (VPC condiviso), oltre i confini del Virtual Private Cloud (VPC) (Network Connectivity Center, peering di rete VPC) e in Private Service Connect . Per l'accesso VPC serverless, i tag sicuri non sono disponibili Applicazioni con peering diretto o applicazioni connesse a VPC. Per queste applicazioni, puoi utilizzare l'indirizzo IP di origine del connettore VPC perché viene usato solo dal tuo ambiente serverless.

Prima di iniziare

Crea un'istanza Secure Web Proxy con un criterio vuoto

Per creare un'istanza Secure Web Proxy, crea prima un criterio di sicurezza vuoto quindi creo un proxy web.

Crea un criterio di sicurezza vuoto

Console

  1. Nella console Google Cloud, vai alla pagina Sicurezza della rete.

    Vai a Sicurezza di rete

  2. Fai clic su Secure Web Proxy.

  3. Fai clic sulla scheda Norme.

  4. Fai clic su Crea un criterio.

  5. Inserisci un nome per il criterio da creare. ad esempio myswppolicy.

  6. Inserisci una descrizione del criterio, ad esempio My new swp policy.

  7. Nell'elenco Regioni, seleziona la regione in cui vuoi per la creazione del criterio.

  8. Fai clic su Crea.

Cloud Shell

  1. Utilizza il tuo editor di testo preferito per creare il file POLICY_FILE.yaml. Sostituisci POLICY_FILE con il nome file che per il file dei criteri.

  2. Aggiungi quanto segue al file YAML che hai creato:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

    Sostituisci quanto segue:

    • PROJECT_NAME: il nome del progetto
    • REGION: la regione a cui si applicano queste norme
    • POLICY_NAME: il nome del criterio che stai creazione in corso
    • POLICY_DESCRIPTION: la descrizione del criterio che stai creando

  3. Importa il criterio di sicurezza:

    gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

Crea un proxy web

Console

  1. Nella console Google Cloud, vai alla pagina Sicurezza della rete.

    Vai a Sicurezza di rete

  2. Fai clic su Secure Web Proxy.

  3. Fai clic su Configura un proxy web.

  4. Inserisci un nome per il proxy web che vuoi creare, ad esempio myswp.

  5. Inserisci una descrizione del proxy web, ad esempio My new swp.

  6. Nell'elenco Regioni, seleziona la regione in cui vuoi per creare il proxy web.

  7. Nell'elenco Rete, seleziona la rete in cui vuoi per creare il proxy web.

  8. Nell'elenco Subnet, seleziona la subnet a cui vuoi per creare il proxy web.

  9. Inserisci l'indirizzo IP del proxy web.

  10. Nell'elenco Certificato, seleziona il certificato che vuoi. da utilizzare per creare il proxy web.

  11. Nell'elenco Criterio, seleziona il criterio che hai creato. a cui associare il proxy web.

  12. Fai clic su Crea.

Cloud Shell

  1. Utilizza il tuo editor di testo preferito per creare il file GATEWAY_FILE.yaml. Sostituisci GATEWAY_FILE con il nome file che vuoi conservare il file del proxy web.

  2. Aggiungi quanto segue al file YAML che hai creato:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

    Sostituisci quanto segue:

    • GATEWAY_NAME: il nome di questa istanza
    • GATEWAY_PORT_NUMBERS: un elenco di numeri di porta per questo gateway, ad esempio [80,443]
    • CERTIFICATE_URLS: un elenco di certificati SSL URL

    • SUBNET_NAME: il nome della subnet che contiene GATEWAY_IP_ADDRESS

    • GATEWAY_IP_ADDRESS: un elenco facoltativo di IP per le tue istanze Secure Web Proxy all'interno del proxy create in precedenza passaggi di configurazione iniziale

      Se scegli di non elencare gli indirizzi IP, ometti il campo per fare in modo che il proxy web scelga un indirizzo IP per te.

  3. Crea un'istanza Secure Web Proxy:

    gcloud network-services gateways import GATEWAY_NAME \
    --source=GATEWAY_FILE.yaml \
    --location=REGION

Testa la connettività

Per verificare la connettività, utilizza il comando curl da qualsiasi VM all'interno della tua Rete Virtual Private Cloud (VPC):

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

È previsto un errore 403 Forbidden.

crea e collega i tag Resource Manager

Per creare e collegare i tag Resource Manager, procedi nel seguente modo:

  1. Crea le chiavi e i valori dei tag.

    Quando crei il tag, designalo con uno scopo GCE_FIREWALL. Le funzionalità di networking di Google Cloud, incluso Secure Web Proxy, richiedono GCE_FIREWALL scopo per applicare il tag. Tuttavia, puoi utilizzare il tag per altre azioni.

  2. Associa i tag alle istanze VM.

Crea regole di Secure Web Proxy

Per creare regole di Secure Web Proxy, segui questi passaggi:

  1. Utilizza il tuo editor di testo preferito per creare RULE_FILE.yaml. Sostituisci RULE_FILE con il nome file scelto.

  2. Per consentire l'accesso a un URL dal tag scelto, aggiungi quanto segue al file YAML file:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
description: RULE_DESCRIPTION
enabled: true
priority: RULE_PRIORITY
sessionMatcher: CEL_EXPRESSION
basicProfile: ALLOW

    Sostituisci quanto segue:

    • RULE_NAME: un nome per questa regola
    • RULE_DESCRIPTION: una descrizione per regola che stai creando
    • RULE_PRIORITY: la priorità per questa regola; un numero più basso corrisponde a una priorità più alta

    • CEL_EXPRESSION: un'espressione comune Espressione lingua (CEL)

      Per ulteriori informazioni, consulta Corrispondenza CEL riferimento linguistico.

    Ad esempio, per consentire l'accesso a example.com dal desiderato, aggiungi quanto segue al file YAML che hai creato per sessionMatcher:

    sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"

    Sostituisci TAG_VALUE con il tag che vuoi allow, nel formato tagValues/1234.

  3. Importa le regole che hai creato:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
   --source=RULE_FILE.yaml \
   --location=REGION \
   --gateway-security-policy=POLICY_NAME

Testa la connettività

Per verificare la connettività, utilizza il comando curl da qualsiasi VM associata con il tag TAG_VALUE:

curl -x https://IPv4_ADDRESS:443 http://example.com 
--proxy-insecure

Sostituisci IPv4_ADDRESS con l'indirizzo IPv4 del tuo Istanza Secure Web Proxy.

Passaggi successivi