Usar tags para criar políticas

As tags do Resource Manager controlam o acesso aos seus recursos do Google Cloud. Com as tags do Resource Manager, você pode organizar seus recursos do Google Cloud e permitir ou negar políticas condicionalmente, dependendo se um recurso tem uma tag específica. Você pode usar O Resource Manager inclui tags para cada instância de máquina virtual (VM) segmento e tipo de serviço. As tags do Resource Manager permitem você identifica exclusivamente os hosts ao criar as políticas do Secure Web Proxy.

Neste guia, você aprende as seguintes ações com relação à verificação de tempo de atividade:

  • Criar uma instância do Secure Web Proxy com uma política vazia.
  • Criar e aplicar tags do Resource Manager a instâncias de VM.
  • Usar tags do Resource Manager para criar uma política do Secure Web Proxy.
  • Crie uma instância do Secure Web Proxy.
  • Teste a conectividade das VMs.

Antes de começar

Criar uma instância do Secure Web Proxy com uma política vazia

Para criar uma instância do Secure Web Proxy, primeiro crie uma política de segurança vazia e depois um proxy da Web.

Criar uma política de segurança vazia

Console

  1. No Console do Google Cloud, acesse a página Segurança de rede.

    Acesse Segurança de rede

  2. Clique em Secure Web Proxy.

  3. Clique na guia Políticas.

  4. Clique em Criar uma política.

  5. Digite um nome para a política que você quer criar, como myswppolicy.

  6. Insira uma descrição para a política, como My new swp policy:

  7. Na lista Regiões, selecione uma região para crie a política.

  8. Clique em Criar.

Cloud Shell

  1. Use o editor de texto de sua preferência para criar o arquivo POLICY_FILE.yaml. Substituir POLICY_FILE pelo nome de arquivo que que você quer para o arquivo de política.

  2. Adicione o seguinte ao arquivo YAML que você criou:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

    Substitua:

    • PROJECT_NAME: o nome do projeto.
    • REGION: a região a que esta política se aplica.
    • POLICY_NAME: o nome da política que você está criando
    • POLICY_DESCRIPTION: a descrição do que você está criando

  3. Importe a política de segurança:

    gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

Criar um proxy da Web

Console

  1. No Console do Google Cloud, acesse a página Segurança de rede.

    Acesse Segurança de rede

  2. Clique em Secure Web Proxy.

  3. Clique em Configurar um proxy da Web.

  4. Insira um nome para o proxy da Web que você quer criar, como myswp.

  5. Digite uma descrição do proxy da Web, como My new swp.

  6. Na lista Regiões, selecione uma região para criar o proxy da Web.

  7. Na lista Rede, selecione a rede criar o proxy da Web.

  8. Na lista Sub-rede, selecione a sub-rede em que você quer criar o proxy da Web.

  9. Digite o endereço IP do proxy da Web.

  10. Na lista Certificado, selecione o certificado que você quer usar para criar o proxy da Web.

  11. Na lista Política, selecione a opção que você criou. para associar ao proxy da Web.

  12. Clique em Criar.

Cloud Shell

  1. Use o editor de texto de sua preferência para criar o arquivo GATEWAY_FILE.yaml. Substitua GATEWAY_FILE pelo nome de arquivo que você quer para o arquivo de proxy da Web.

  2. Adicione o seguinte ao arquivo YAML que você criou:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

    Substitua:

    • GATEWAY_NAME: o nome da instância.
    • GATEWAY_PORT_NUMBERS: uma lista de números de porta para esse gateway, como [80,443]
    • CERTIFICATE_URLS: uma lista de URLs de certificados SSL

    • SUBNET_NAME: o nome da sub-rede que contém GATEWAY_IP_ADDRESS

    • GATEWAY_IP_ADDRESS: uma lista opcional de IPs para as instâncias do Secure Web Proxy dentro do proxy sub-redes criadas anteriormente etapas iniciais de configuração

      Se você não quiser listar endereços IP, omita o campo para que o proxy da Web escolha um endereço IP para você.

  3. Crie uma instância do Secure Web Proxy:

    gcloud network-services gateways import GATEWAY_NAME \
    --source=GATEWAY_FILE.yaml \
    --location=REGION

testar a conectividade

Para testar a conectividade, use o comando curl de qualquer VM na sua Rede de nuvem privada virtual (VPC):

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

Um erro 403 Forbidden é esperado.

Criar e anexar tags do Resource Manager

Faça o seguinte para criar e anexar tags do Resource Manager:

  1. Crie as chaves e os valores de tag.

    Ao criar sua tag, defina-a com a finalidade GCE_FIREWALL. Os recursos de rede do Google Cloud, incluindo o Secure Web Proxy, exigem a GCE_FIREWALL para aplicar a tag. No entanto, você pode usar a tag para outras ações.

  2. Vincule tags a instâncias de VM.

Criar regras do Secure Web Proxy

Para criar regras do Secure Web Proxy, faça o seguinte:

  1. Use o editor de texto de sua preferência para criar um arquivo RULE_FILE.yaml. Substituir RULE_FILE pelo nome de arquivo escolhido.

  2. Para permitir o acesso a um URL da tag escolhida, adicione o seguinte ao YAML arquivo:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
description: RULE_DESCRIPTION
enabled: true
priority: RULE_PRIORITY
sessionMatcher: CEL_EXPRESSION
basicProfile: ALLOW

    Substitua:

    • RULE_NAME: um nome para esta regra.
    • RULE_DESCRIPTION: uma descrição para o que você está criando
    • RULE_PRIORITY: a prioridade da regra. um número menor corresponde a uma prioridade mais alta

    • CEL_EXPRESSION: uma expressão comum Expressão de linguagem (CEL)

      Para mais informações, consulte matcher de CEL do idioma de referência.

    Por exemplo, para permitir o acesso a example.com pela tag desejada, adicione o seguinte ao arquivo YAML criado para o sessionMatcher:

    sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"

    Substitua TAG_VALUE pela tag que você quer permitir, da forma tagValues/1234.

  3. Importe as regras que você criou:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
   --source=RULE_FILE.yaml \
   --location=REGION \
   --gateway-security-policy=POLICY_NAME

testar a conectividade

Para testar a conectividade, use o comando curl de qualquer VM associada com a tag TAG_VALUE:

curl -x https://IPv4_ADDRESS:443 http://example.com 
--proxy-insecure

Substitua IPv4_ADDRESS pelo endereço IPv4 do seu uma instância do Secure Web Proxy.

A seguir