Utilizzare i tag per creare criteri

I tag di Resource Manager controllano l'accesso alle tue Google Cloud risorse. I tag Resource Manager ti consentono di organizzare le Google Cloud risorse e consentire o negare in modo condizionale i criteri in base al fatto che una risorsa abbia un tag specifico. Puoi utilizzare i tag Resource Manager per taggare ogni istanza di macchina virtuale (VM) in base al segmento e al tipo di servizio. I tag di Resource Manager ti consentono di identificare in modo univoco gli host durante la creazione dei criteri di Secure Web Proxy.

Questa guida illustra come:

  • Crea un'istanza di Secure Web Proxy con un criterio vuoto.
  • Crea e applica i tag di Resource Manager alle istanze VM.
  • Utilizza i tag di Resource Manager per creare un criterio Secure Web Proxy.
  • Crea un'istanza di Secure Web Proxy.
  • Testa la connettività dalle tue VM.

Prima di iniziare

Creare un'istanza di Secure Web Proxy con un criterio vuoto

Per creare un'istanza di Secure Web Proxy, crea prima un criterio di sicurezza vuoto e poi un proxy web.

Creare un criterio di sicurezza vuoto

Console

  1. Nella console Google Cloud, vai alla pagina Sicurezza di rete.

    Vai a Sicurezza della rete

  2. Fai clic su Secure Web Proxy (Proxy web sicuro).

  3. Fai clic sulla scheda Norme.

  4. Fai clic su Crea un criterio.

  5. Inserisci un nome per il criterio che vuoi creare, ad esempio myswppolicy.

  6. Inserisci una descrizione della norma, ad esempio My new swp policy.

  7. Nell'elenco Regioni, seleziona la regione in cui vuoi creare il criterio.

  8. Fai clic su Crea.

Cloud Shell

  1. Utilizza l'editor di testo che preferisci per creare il file POLICY_FILE.yaml. Sostituisci POLICY_FILE con il nome del file che vuoi assegnare al file delle norme.

  2. Aggiungi quanto segue al file YAML che hai creato:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

    Sostituisci quanto segue:

    • PROJECT_NAME: il nome del progetto
    • REGION: la regione a cui si applicano queste norme
    • POLICY_NAME: il nome del criterio che stai creando
    • POLICY_DESCRIPTION: la descrizione del criterio che stai creando

  3. Importa il criterio di sicurezza:

    gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

Crea un proxy web

Console

  1. Nella console Google Cloud, vai alla pagina Sicurezza di rete.

    Vai a Sicurezza della rete

  2. Fai clic su Secure Web Proxy (Proxy web sicuro).

  3. Fai clic su Configura un proxy web.

  4. Inserisci un nome per il proxy web che vuoi creare, ad esempio myswp.

  5. Inserisci una descrizione del proxy web, ad esempio My new swp.

  6. Nell'elenco Regioni, seleziona la regione in cui vuoi creare il proxy web.

  7. Nell'elenco Rete, seleziona la rete in cui vuoi creare il proxy web.

  8. Nell'elenco Subnet, seleziona la sottorete in cui vuoi creare il proxy web.

  9. Inserisci l'indirizzo IP del proxy web.

  10. Nell'elenco Certificato, seleziona il certificato da utilizzare per creare il proxy web.

  11. Nell'elenco Norma, seleziona la norma che hai creato per associare il proxy web.

  12. Fai clic su Crea.

Cloud Shell

  1. Utilizza l'editor di testo che preferisci per creare il file GATEWAY_FILE.yaml. Sostituisci GATEWAY_FILE con il nome del file che vuoi assegnare al file del proxy web.

  2. Aggiungi quanto segue al file YAML che hai creato:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

    Sostituisci quanto segue:

    • GATEWAY_NAME: il nome di questa istanza
    • GATEWAY_PORT_NUMBERS: un elenco di numeri di porta per questo gateway, ad esempio [80,443]
    • CERTIFICATE_URLS: un elenco di URL dei certificati SSL

    • SUBNET_NAME: il nome della subnet che contiene GATEWAY_IP_ADDRESS

    • GATEWAY_IP_ADDRESS: un elenco facoltativo di indirizzi IP per le istanze di Secure Web Proxy all'interno delle sottoreti proxy create in precedenza nei passaggi di configurazione iniziale

      Se scegli di non elencare gli indirizzi IP, ometti il campo per consentire al proxy web di scegliere un indirizzo IP per te.

  3. Crea un'istanza di Secure Web Proxy:

    gcloud network-services gateways import GATEWAY_NAME \
    --source=GATEWAY_FILE.yaml \
    --location=REGION

Testa la connettività

Per verificare la connettività, utilizza il comando curl da qualsiasi VM all'interno della tua rete Virtual Private Cloud (VPC):

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

È previsto un errore 403 Forbidden.

Crea e collega i tag di Resource Manager

Per creare e collegare i tag di Resource Manager:

  1. Crea le chiavi e i valori dei tag.

    Quando crei il tag, assegnagli uno scopo GCE_FIREWALL. Google Cloud le funzionalità di rete, tra cui Secure Web Proxy, richiedono lo scopoGCE_FIREWALL per applicare il tag. Tuttavia, puoi utilizzare il tag per altre azioni.

  2. Associa i tag alle istanze VM.

Creare regole di Secure Web Proxy

Per creare regole di Secure Web Proxy:

  1. Utilizza l'editor di testo che preferisci per creare un RULE_FILE.yaml file. Sostituisci RULE_FILE con il nome file scelto.

  2. Per consentire l'accesso a un URL dal tag scelto, aggiungi quanto segue al file YAML:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
description: RULE_DESCRIPTION
enabled: true
priority: RULE_PRIORITY
sessionMatcher: CEL_EXPRESSION
basicProfile: ALLOW

    Sostituisci quanto segue:

    • RULE_NAME: un nome per questa regola
    • RULE_DESCRIPTION: una descrizione della regola che stai creando
    • RULE_PRIORITY: la priorità per questa regola. Un numero inferiore corrisponde a una priorità più elevata

    • CEL_EXPRESSION: un'espressione Common Expression Language (CEL)

      Per ulteriori informazioni, consulta il riferimento al linguaggio del matcher CEL.

    Ad esempio, per consentire l'accesso a example.com dal tag desiderato, aggiungi quanto segue al file YAML creato persessionMatcher:

    sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"

    Sostituisci TAG_VALUE con il tag che vuoi consentire, del tipo tagValues/1234.

  3. Importa le regole che hai creato:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
   --source=RULE_FILE.yaml \
   --location=REGION \
   --gateway-security-policy=POLICY_NAME

Testa la connettività

Per testare la connettività, utilizza il comando curl da qualsiasi VM associata al tag TAG_VALUE:

curl -x https://IPv4_ADDRESS:443 http://example.com 
--proxy-insecure

Sostituisci IPv4_ADDRESS con l'indirizzo IPv4 della tua istanza di proxy web sicuro.

Passaggi successivi