Resource Manager-Tags steuern die Zugriff auf Ihre Google Cloud-Ressourcen. Mit Resource Manager-Tags können Sie Ihre Google Cloud-Ressourcen organisieren und Richtlinien je nachdem, ob eine Ressource ein bestimmtes Tag hat, zulassen oder ablehnen. Sie können Resource Manager-Tags zum Taggen jeder VM-Instanz nach und Diensttyp enthalten. Mit Resource Manager-Tags werden Hosts beim Erstellen von Secure Web Proxy-Richtlinien eindeutig identifiziert.
Diese Seite enthält Anleitungen für Folgendes:
- Erstellen Sie eine Secure Web Proxy-Instanz mit einer leeren Richtlinie.
- Resource Manager-Tags erstellen und auf VM-Instanzen anwenden.
- Verwenden Sie Resource Manager-Tags, um eine Richtlinie für sichere Web-Proxys zu erstellen.
- Erstellen Sie eine Secure Web Proxy-Instanz.
- Testen Sie die Verbindung von Ihren VMs.
Hinweis
Schließen Sie die Ersteinrichtung ab Schritte.
Bitten Sie einen Organisationsadministrator, Ihnen die erforderliche Rolle zum Erstellen und Aktualisieren von Tags zuzuweisen.
Prüfen Sie, ob die Google Cloud CLI-Version 406.0.0 oder höher installiert ist:
gcloud version | head -n1Wenn Sie eine frühere Version der gcloud CLI installiert haben, aktualisieren Sie die Version:
gcloud components update --version=406.0.0
Secure Web Proxy-Instanz mit einer leeren Richtlinie erstellen
Erstellen Sie zuerst eine leere Sicherheitsrichtlinie, um eine Secure Web Proxy-Instanz zu erstellen und dann einen Web-Proxy erstellen.
Leere Sicherheitsrichtlinie erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Secure Web Proxy.
Klicken Sie auf den Tab Richtlinien.
Klicken Sie auf Richtlinie erstellen.
Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, z. B.
myswppolicy.Geben Sie eine Beschreibung der Richtlinie ein, z. B.
My new swp policy.Wählen Sie in der Liste Regionen die Region aus, in der Sie die Richtlinie erstellen möchten.
Klicken Sie auf Erstellen.
Cloud Shell
Verwenden Sie Ihren bevorzugten Texteditor, um die Datei zu erstellen.
POLICY_FILE.yaml. Ersetzen SiePOLICY_FILEdurch den gewünschten Dateinamen für die Richtliniendatei.Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME description: POLICY_DESCRIPTIONErsetzen Sie Folgendes:
PROJECT_NAME: Name Ihres ProjektsREGION: die Region, auf die diese Richtlinie angewendet wirdPOLICY_NAME: der Name Ihrer Richtlinie wird erstelltPOLICY_DESCRIPTION: die Beschreibung der Richtlinie, die Sie erstellen
Importieren Sie die Sicherheitsrichtlinie:
gcloud network-security gateway-security-policies import POLICY_NAME \ --source=POLICY_FILE.yaml \ --location=REGION
Web-Proxy erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Sicherer Web-Proxy.
Klicken Sie auf Web-Proxy einrichten.
Geben Sie einen Namen für den zu erstellenden Web-Proxy ein. wie
myswp.Geben Sie eine Beschreibung des Web-Proxys ein, z. B.
My new swp.Wählen Sie in der Liste Regionen die Region aus, in der Sie den Webproxy erstellen möchten.
Wählen Sie in der Liste Netzwerk das Netzwerk aus, für das Sie Erstellen Sie den Web-Proxy.
Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, für das Sie Erstellen Sie den Web-Proxy.
Geben Sie die IP-Adresse des Web-Proxys ein.
Wählen Sie in der Liste Zertifikat das gewünschte Zertifikat aus. zum Erstellen des Web-Proxys.
Wählen Sie in der Liste Richtlinie die Richtlinie aus, die Sie erstellt haben, um den Webproxy zu verknüpfen.
Klicken Sie auf Erstellen.
Cloud Shell
Verwenden Sie Ihren bevorzugten Texteditor, um die Datei zu erstellen.
GATEWAY_FILE.yaml. Ersetzen SieGATEWAY_FILEdurch den gewünschten Dateinamen für die Webproxydatei.Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:
name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME type: SECURE_WEB_GATEWAY ports: [GATEWAY_PORT_NUMBERS] certificateUrls: [CERTIFICATE_URLS] gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME network: projects/PROJECT_NAME/global/networks/NETWORK_NAME subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME addresses: [GATEWAY_IP_ADDRESS] scope: samplescopeErsetzen Sie Folgendes:
GATEWAY_NAME: der Name für diese InstanzGATEWAY_PORT_NUMBERS: eine Liste der Portnummern für dieses Gateway, z. B.[80,443]CERTIFICATE_URLS: eine Liste von SSL-Zertifikat-URLsSUBNET_NAME: Name des Subnetzes, dasGATEWAY_IP_ADDRESSenthältGATEWAY_IP_ADDRESS: Eine optionale Liste von IP-Adressen für Ihre sicheren Web-Proxy-Instanzen innerhalb der Proxy-Subnetze, die in den ersten Einrichtungsschritten erstellt wurden.Wenn Sie keine IP-Adressen auflisten, lassen Sie das Feld aus, damit der Web-Proxy eine IP-Adresse für Sie auswählt.
Erstellen Sie eine Secure Web Proxy-Instanz:
gcloud network-services gateways import GATEWAY_NAME \ --source=GATEWAY_FILE.yaml \ --location=REGION
Verbindung testen
Testen Sie die Verbindung mit dem Befehl curl auf einer beliebigen VM in Ihrem
VPC-Netzwerk (Virtual Private Cloud):
curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
Es wird ein 403 Forbidden-Fehler erwartet.
Resource Manager-Tags erstellen und anhängen
So erstellen und hängen Sie Resource Manager-Tags an:
Erstellen Sie die Tag-Schlüssel und -Werte.
Legen Sie das Tag beim Erstellen mit dem Zweck
GCE_FIREWALLfest. Für Google Cloud-Netzwerkfunktionen wie Secure Web Proxy ist dieGCE_FIREWALL-Zweck, um das Tag anzuwenden. Sie können das Tag jedoch auch für andere Aktionen verwenden.
Secure Web Proxy-Regeln erstellen
So erstellen Sie Regeln für sichere Web-Proxys:
Erstellen Sie mit Ihrem bevorzugten Texteditor ein
RULE_FILE.yaml-Datei angegeben werden. Ersetzen SieRULE_FILEdurch den gewünschten Dateinamen.Fügen Sie der YAML-Datei Folgendes hinzu, um den Zugriff auf eine URL über das ausgewählte Tag zu ermöglichen Datei:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME description: RULE_DESCRIPTION enabled: true priority: RULE_PRIORITY sessionMatcher: CEL_EXPRESSION basicProfile: ALLOWErsetzen Sie Folgendes:
RULE_NAME: ein Name für diese RegelRULE_DESCRIPTION: eine Beschreibung der Regel, die Sie erstellenRULE_PRIORITY: Priorität dieser Regel Eine niedrigere Zahl entspricht einer höheren Priorität.CEL_EXPRESSION: ein häufiger Ausdruck Sprachausdruck (CEL)Weitere Informationen finden Sie in der Referenz für die CEL-Abgleichssprache.
Wenn Sie beispielsweise Zugriff auf
example.comüber das gewünschte Tag zulassen möchten, fügen Sie der YAML-Datei, die Sie fürsessionMatchererstellt haben, Folgendes hinzu:sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"Ersetzen Sie
TAG_VALUEdurch das Tag, das Sie verwenden möchten. „allow“ im FormattagValues/1234.Importieren Sie die von Ihnen erstellten Regeln:
gcloud network-security gateway-security-policies rules import RULE_NAME \ --source=RULE_FILE.yaml \ --location=REGION \ --gateway-security-policy=POLICY_NAME
Verbindung testen
Testen Sie die Verbindung, indem Sie den Befehl curl von jeder verknüpften VM aus verwenden.
mit dem TAG_VALUE-Tag:
curl -x https://IPv4_ADDRESS:443 http://example.com
--proxy-insecure
Ersetzen Sie IPv4_ADDRESS durch die IPv4-Adresse Ihres
Secure Web Proxy-Instanz.
Nächste Schritte
- Richtlinien mithilfe einer URL-Liste erstellen
- Statische IP-Adressen für ausgehenden Traffic zuweisen