Use etiquetas para criar políticas

As etiquetas do Resource Manager controlam o acesso aos seus recursos. Google Cloud As etiquetas do Resource Manager permitem-lhe organizar os seus recursos e permitir ou negar condicionalmente políticas com base no facto de um recurso ter uma etiqueta específica. Google Cloud Pode usar etiquetas do Resource Manager para etiquetar cada instância de máquina virtual (VM) por segmento e tipo de serviço. As etiquetas do Resource Manager permitem-lhe identificar de forma exclusiva os anfitriões quando cria políticas do Secure Web Proxy.

Este guia mostra-lhe como fazer o seguinte:

  • Crie uma instância do Secure Web Proxy com uma política vazia.
  • Crie e aplique etiquetas do Resource Manager a instâncias de VM.
  • Use etiquetas do Resource Manager para criar uma política de proxy Web seguro.
  • Crie uma instância do Secure Web Proxy.
  • Teste a conetividade a partir das VMs.

Antes de começar

Crie uma instância do Secure Web Proxy com uma política vazia

Para criar uma instância de proxy Web seguro, crie primeiro uma política de segurança vazia e, em seguida, crie um proxy Web.

Crie uma política de segurança vazia

Consola

  1. Na Google Cloud consola, aceda à página Políticas de SWP.

    Aceda às políticas de SWP

  2. Clique em Criar uma política.

  3. Introduza um nome para a política que quer criar, como myswppolicy.

  4. Introduza uma descrição da política, como My new swp policy.

  5. Na lista Regiões, selecione a região onde quer criar a política.

  6. Clique em Criar.

Cloud Shell

  1. Use o seu editor de texto preferido para criar o ficheiro POLICY_FILE.yaml. Substitua POLICY_FILE pelo nome de ficheiro que quer para o ficheiro de políticas.

  2. Adicione o seguinte ao ficheiro YAML que criou:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

    Substitua o seguinte:

    • PROJECT_NAME: o nome do seu projeto
    • REGION: a região à qual esta política se aplica
    • POLICY_NAME: o nome da política que está a criar
    • POLICY_DESCRIPTION: a descrição da política que está a criar

  3. Importe a política de segurança:

    gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

Crie um proxy Web

Consola

  1. Na Google Cloud consola, aceda à página Proxies Web.

    Aceda a Proxies Web

  2. Clique em Criar um proxy Web seguro.

  3. Introduza um nome para o proxy Web que quer criar, como myswp.

  4. Introduza uma descrição do proxy Web, como My new swp.

  5. Na lista Regiões, selecione a região onde quer criar o proxy Web.

  6. Na lista Rede, selecione a rede na qual quer criar o proxy Web.

  7. Na lista Sub-rede, selecione a sub-rede onde quer criar o proxy Web.

  8. Opcional: introduza o endereço IP do proxy Web seguro. Pode introduzir um endereço IP do intervalo de endereços IP do proxy Web seguro que reside na sub-rede que criou no passo anterior. Se não introduzir o endereço IP, a instância do proxy Web seguro escolhe automaticamente um endereço IP da sub-rede selecionada.

  9. Na lista Certificado, selecione o certificado que quer usar para criar o proxy Web.

  10. Na lista Política, selecione a política que criou para associar ao proxy Web.

  11. Clique em Criar.

Cloud Shell

  1. Use o seu editor de texto preferido para criar o ficheiro GATEWAY_FILE.yaml. Substitua GATEWAY_FILE pelo nome de ficheiro que quer para o ficheiro de proxy Web.

  2. Adicione o seguinte ao ficheiro YAML que criou:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

    Substitua o seguinte:

    • GATEWAY_NAME: o nome desta instância
    • GATEWAY_PORT_NUMBERS: uma lista de números de portas para este gateway, como [80,443]
    • CERTIFICATE_URLS: uma lista de URLs de certificados SSL

    • SUBNET_NAME: o nome da sub-rede que contém GATEWAY_IP_ADDRESS

    • GATEWAY_IP_ADDRESS: uma lista opcional de endereços IP para as suas instâncias do Secure Web Proxy nas sub-redes de proxy criadas anteriormente nos passos de configuração iniciais

      Se optar por não indicar endereços IP, omita o campo para que o proxy Web escolha um endereço IP por si.

  3. Crie uma instância do Secure Web Proxy:

    gcloud network-services gateways import GATEWAY_NAME \
    --source=GATEWAY_FILE.yaml \
    --location=REGION

Teste a conetividade

Para testar a conetividade, use o comando curl a partir de qualquer VM na sua rede da nuvem virtual privada (VPC):

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

É esperado um erro 403 Forbidden.

Crie e anexe etiquetas do Resource Manager

Faça o seguinte para criar e anexar etiquetas do Resource Manager:

  1. Crie as chaves e os valores das etiquetas.

    Quando criar a etiqueta, atribua-lhe uma GCE_FIREWALLfinalidade. Google Cloud As funcionalidades de rede, incluindo o proxy Web seguro, requerem a GCE_FIREWALLfinalidade para aplicar a etiqueta. No entanto, pode usar a etiqueta para outras ações.

  2. Vincule etiquetas a instâncias de VM.

Crie regras do Secure Web Proxy

Para criar regras do Secure Web Proxy, faça o seguinte:

  1. Use o seu editor de texto preferido para criar um ficheiro RULE_FILE.yaml. Substitua RULE_FILE pelo nome de ficheiro escolhido.

  2. Para permitir o acesso a um URL a partir da etiqueta escolhida, adicione o seguinte ao ficheiro YAML:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
description: RULE_DESCRIPTION
enabled: true
priority: RULE_PRIORITY
sessionMatcher: CEL_EXPRESSION
basicProfile: ALLOW

    Substitua o seguinte:

    • RULE_NAME: um nome para esta regra
    • RULE_DESCRIPTION: uma descrição da regra que está a criar
    • RULE_PRIORITY: a prioridade desta regra; um número inferior corresponde a uma prioridade superior

    • CEL_EXPRESSION: uma expressão do Idioma de expressão comum (IEC)

      Para mais informações, consulte a referência de linguagem do CEL matcher.

    Por exemplo, para permitir o acesso a example.com a partir da etiqueta desejada, adicione o seguinte ao ficheiro YAML que criou para sessionMatcher:

    sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"

    Substitua TAG_VALUE pela etiqueta que quer permitir, no formato tagValues/1234.

  3. Importe as regras que criou:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
   --source=RULE_FILE.yaml \
   --location=REGION \
   --gateway-security-policy=POLICY_NAME

Teste a conetividade

Para testar a conetividade, use o comando curl a partir de qualquer VM associada à etiqueta TAG_VALUE:

curl -x https://IPv4_ADDRESS:443 http://example.com 
--proxy-insecure

Substitua IPv4_ADDRESS pelo endereço IPv4 da sua instância do proxy Web seguro.

O que se segue?