Richtlinien über Tags erstellen

Resource Manager-Tags steuern den Zugriff auf Ihre Google Cloud Ressourcen. Mit Resource Manager-Tags können Sie Ihre Google Cloud Ressourcen organisieren und Richtlinien je nachdem, ob eine Ressource ein bestimmtes Tag hat, zulassen oder ablehnen. Mit Resource Manager-Tags können Sie jede VM-Instanz nach Segment und Diensttyp taggen. Mit Resource Manager-Tags können Sie beim Erstellen von Secure Web Proxy-Richtlinien eindeutige Hosts identifizieren.

Diese Seite enthält Anleitungen für Folgendes:

  • Erstellen Sie eine Instanz des sicheren Web-Proxys mit einer leeren Richtlinie.
  • Resource Manager-Tags erstellen und auf VM-Instanzen anwenden.
  • Verwenden Sie Resource Manager-Tags, um eine Richtlinie für sichere Web-Proxys zu erstellen.
  • Erstellen Sie eine Secure Web Proxy-Instanz.
  • Testen Sie die Verbindung von Ihren VMs.

Hinweise

Secure Web Proxy-Instanz mit einer leeren Richtlinie erstellen

Wenn Sie eine Instanz eines sicheren Web-Proxys erstellen möchten, erstellen Sie zuerst eine leere Sicherheitsrichtlinie und dann einen Web-Proxy.

Leere Sicherheitsrichtlinie erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Sicherer Web-Proxy.

  3. Klicken Sie auf den Tab Richtlinien.

  4. Klicken Sie auf Richtlinie erstellen.

  5. Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, z. B. myswppolicy.

  6. Geben Sie eine Beschreibung der Richtlinie ein, z. B. My new swp policy.

  7. Wählen Sie in der Liste Regionen die Region aus, in der Sie die Richtlinie erstellen möchten.

  8. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor die Datei POLICY_FILE.yaml. Ersetzen Sie POLICY_FILE durch den gewünschten Dateinamen für die Richtliniendatei.

  2. Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

    Ersetzen Sie Folgendes:

    • PROJECT_NAME: Name Ihres Projekts
    • REGION: die Region, auf die diese Richtlinie angewendet wird
    • POLICY_NAME: der Name der Richtlinie, die Sie erstellen
    • POLICY_DESCRIPTION: die Beschreibung der Richtlinie, die Sie erstellen

  3. Importieren Sie die Sicherheitsrichtlinie:

    gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

Web-Proxy erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Sicherer Web-Proxy.

  3. Klicken Sie auf Webproxy einrichten.

  4. Geben Sie einen Namen für den Webproxy ein, den Sie erstellen möchten, z. B. myswp.

  5. Geben Sie eine Beschreibung des Web-Proxys ein, z. B. My new swp.

  6. Wählen Sie in der Liste Regionen die Region aus, in der Sie den Webproxy erstellen möchten.

  7. Wählen Sie in der Liste Netzwerk das Netzwerk aus, in dem Sie den Webproxy erstellen möchten.

  8. Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, in dem Sie den Webproxy erstellen möchten.

  9. Geben Sie die IP-Adresse des Web-Proxys ein.

  10. Wählen Sie in der Liste Zertifikat das Zertifikat aus, mit dem Sie den Webproxy erstellen möchten.

  11. Wählen Sie in der Liste Richtlinie die Richtlinie aus, die Sie erstellt haben, um den Webproxy zu verknüpfen.

  12. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor die Datei GATEWAY_FILE.yaml. Ersetzen Sie GATEWAY_FILE durch den gewünschten Dateinamen für die Webproxydatei.

  2. Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

    Ersetzen Sie Folgendes:

    • GATEWAY_NAME: der Name dieser Instanz
    • GATEWAY_PORT_NUMBERS: eine Liste von Portnummern für dieses Gateway, z. B. [80,443]
    • CERTIFICATE_URLS: eine Liste von SSL-Zertifikat-URLs

    • SUBNET_NAME: Name des Subnetzes, das GATEWAY_IP_ADDRESS enthält

    • GATEWAY_IP_ADDRESS: Eine optionale Liste von IP-Adressen für Ihre sicheren Web-Proxy-Instanzen innerhalb der Proxy-Subnetze, die in den ersten Einrichtungsschritten erstellt wurden.

      Wenn Sie keine IP-Adressen angeben möchten, lassen Sie das Feld leer, damit der Webproxy eine IP-Adresse für Sie auswählt.

  3. So erstellen Sie eine Secure Web Proxy-Instanz:

    gcloud network-services gateways import GATEWAY_NAME \
    --source=GATEWAY_FILE.yaml \
    --location=REGION

Verbindung testen

Verwenden Sie den Befehl curl auf einer beliebigen VM in Ihrem VPC-Netzwerk (Virtual Private Cloud), um die Konnektivität zu testen:

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

Es wird ein 403 Forbidden-Fehler erwartet.

Resource Manager-Tags erstellen und anhängen

So erstellen und hängen Sie Resource Manager-Tags an:

  1. Erstellen Sie die Tag-Schlüssel und -Werte.

    Weisen Sie dem Tag beim Erstellen einen GCE_FIREWALL-Zweck zu. FürGoogle Cloud -Netzwerkfunktionen wie den Secure Web Proxy ist der GCE_FIREWALL-Zweck erforderlich, um das Tag anzuwenden. Sie können das Tag jedoch auch für andere Aktionen verwenden.

  2. Tags an VM-Instanzen binden

Secure Web Proxy-Regeln erstellen

So erstellen Sie Regeln für sichere Web-Proxys:

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor eine Datei vom Typ RULE_FILE.yaml. Ersetzen Sie RULE_FILE durch den gewünschten Dateinamen.

  2. Wenn Sie den Zugriff auf eine URL über das ausgewählte Tag zulassen möchten, fügen Sie der YAML-Datei Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
description: RULE_DESCRIPTION
enabled: true
priority: RULE_PRIORITY
sessionMatcher: CEL_EXPRESSION
basicProfile: ALLOW

    Ersetzen Sie Folgendes:

    • RULE_NAME: ein Name für diese Regel
    • RULE_DESCRIPTION: eine Beschreibung der Regel, die Sie erstellen
    • RULE_PRIORITY: die Priorität dieser Regel. Eine niedrigere Zahl entspricht einer höheren Priorität.

    • CEL_EXPRESSION: CEL-Ausdruck (Common Expression Language)

      Weitere Informationen finden Sie in der CEL-Abgleichssprache.

    Wenn Sie beispielsweise Zugriff auf example.com über das gewünschte Tag zulassen möchten, fügen Sie der YAML-Datei, die Sie für sessionMatcher erstellt haben, Folgendes hinzu:

    sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"

    Ersetzen Sie TAG_VALUE durch das Tag, das Sie zulassen möchten, in Form von tagValues/1234.

  3. Importieren Sie die von Ihnen erstellten Regeln:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
   --source=RULE_FILE.yaml \
   --location=REGION \
   --gateway-security-policy=POLICY_NAME

Verbindung testen

Verwenden Sie zum Testen der Verbindung den Befehl curl auf einer beliebigen VM, die mit dem Tag TAG_VALUE verknüpft ist:

curl -x https://IPv4_ADDRESS:443 http://example.com 
--proxy-insecure

Ersetzen Sie IPv4_ADDRESS durch die IPv4-Adresse Ihrer Secure Web Proxy-Instanz.

Nächste Schritte