As tags do Resource Manager controlam o acesso aos seus recursos Google Cloud . As tags do Resource Manager permitem organizar os Google Cloud recursos e permitir ou negar políticas condicionalmente com base em um recurso ter ou não uma tag específica. É possível usar tags do Gerenciador de recursos para marcar cada instância de máquina virtual (VM) por segmento e tipo de serviço. As tags do Resource Manager permitem identificar hosts de forma exclusiva ao criar políticas do Secure Web Proxy.
Neste guia, você aprende as seguintes ações com relação à verificação de tempo de atividade:
- Crie uma instância do Secure Web Proxy com uma política vazia.
- Crie e aplique tags do Resource Manager a instâncias de VM.
- Use as tags do Gerenciador de recursos para criar uma política do Secure Web Proxy.
- Crie uma instância do Secure Web Proxy.
- Teste a conectividade das VMs.
Antes de começar
Conclua as etapas de configuração inicial.
Peça a um administrador da organização para conceder a função necessária para criar e atualizar tags.
Verifique se você tem a versão 406.0.0 ou mais recente da Google Cloud CLI instalada:
gcloud version | head -n1
Se você tiver uma versão anterior da CLI gcloud instalada, atualize a versão:
gcloud components update --version=406.0.0
Criar uma instância do Secure Web Proxy com uma política vazia
Para criar uma instância do Secure Web Proxy, primeiro crie uma política de segurança vazia e depois um proxy da Web.
Criar uma política de segurança vazia
Console
No Google Cloud console, acesse a página Segurança de rede.
Clique em Proxy seguro da Web.
Clique na guia Políticas.
Clique em Criar uma política.
Digite um nome para a política que você quer criar, como
myswppolicy
.Insira uma descrição da política, como
My new swp policy
.Na lista Regiões, selecione a região em que você quer criar a política.
Clique em Criar.
Cloud Shell
Use o editor de texto de sua preferência para criar o arquivo
POLICY_FILE
.yaml. SubstituaPOLICY_FILE
pelo nome do arquivo que você quer para o arquivo de política.Adicione o seguinte ao arquivo YAML criado:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME description: POLICY_DESCRIPTION
Substitua:
PROJECT_NAME
: o nome do projeto.REGION
: a região a que esta política se aplicaPOLICY_NAME
: o nome da política que você está criandoPOLICY_DESCRIPTION
: a descrição da política que você está criando
Importe a política de segurança:
gcloud network-security gateway-security-policies import POLICY_NAME \ --source=POLICY_FILE.yaml \ --location=REGION
Criar um proxy da Web
Console
No Google Cloud console, acesse a página Segurança de rede.
Clique em Proxy seguro da Web.
Clique em Configurar um proxy da Web.
Insira um nome para o proxy da Web que você quer criar, como
myswp
.Insira uma descrição do proxy da Web, como
My new swp
.Na lista Regiões, selecione a região em que você quer criar o proxy da Web.
Na lista Rede, selecione a rede em que você quer criar o proxy da Web.
Na lista Sub-rede, selecione a sub-rede em que você quer criar o proxy da Web.
Digite o endereço IP do proxy da Web.
Na lista Certificado, selecione o certificado que você quer usar para criar o proxy da Web.
Na lista Política, selecione a política que você criou para associar o proxy da Web.
Clique em Criar.
Cloud Shell
Use o editor de texto de sua preferência para criar o arquivo
GATEWAY_FILE
.yaml. SubstituaGATEWAY_FILE
pelo nome de arquivo que você quer para o arquivo de proxy da Web.Adicione o seguinte ao arquivo YAML criado:
name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME type: SECURE_WEB_GATEWAY ports: [GATEWAY_PORT_NUMBERS] certificateUrls: [CERTIFICATE_URLS] gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME network: projects/PROJECT_NAME/global/networks/NETWORK_NAME subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME addresses: [GATEWAY_IP_ADDRESS] scope: samplescope
Substitua:
GATEWAY_NAME
: o nome dessa instânciaGATEWAY_PORT_NUMBERS
: uma lista de números de porta para esse gateway, como[80,443]
CERTIFICATE_URLS
: uma lista de URLs de certificados SSLSUBNET_NAME
: o nome da sub-rede que contémGATEWAY_IP_ADDRESS
GATEWAY_IP_ADDRESS
: uma lista opcional de endereços IP para suas instâncias do Secure Web Proxy nas sub-redes de proxy criadas anteriormente nas etapas de configuração inicial.Se você não quiser listar endereços IP, omita o campo para que o proxy da Web escolha um endereço IP para você.
Crie uma instância do Secure Web Proxy:
gcloud network-services gateways import GATEWAY_NAME \ --source=GATEWAY_FILE.yaml \ --location=REGION
testar a conectividade
Para testar a conectividade, use o comando curl
em qualquer VM na sua
rede de nuvem privada virtual (VPC):
curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
Um erro 403 Forbidden
é esperado.
Criar e anexar tags do Resource Manager
Siga estas etapas para criar e anexar tags do Resource Manager:
Crie as chaves e os valores de tag.
Ao criar a tag, atribua a ela uma finalidade
GCE_FIREWALL
. Os recursos de redeGoogle Cloud , incluindo o proxy da Web seguro, exigem a finalidadeGCE_FIREWALL
para aplicar a tag. No entanto, você pode usar a tag para outras ações.
Criar regras do Secure Web Proxy
Para criar regras do Secure Web Proxy, faça o seguinte:
Use o editor de texto de sua preferência para criar um arquivo
RULE_FILE
.yaml. SubstituaRULE_FILE
pelo nome de arquivo escolhido.Para permitir o acesso a um URL da tag escolhida, adicione o seguinte ao arquivo YAML:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME description: RULE_DESCRIPTION enabled: true priority: RULE_PRIORITY sessionMatcher: CEL_EXPRESSION basicProfile: ALLOW
Substitua:
RULE_NAME
: um nome para essa regraRULE_DESCRIPTION
: uma descrição da regra que você está criandoRULE_PRIORITY
: a prioridade dessa regra. Um número menor corresponde a uma prioridade maior.CEL_EXPRESSION
: uma expressão da linguagem de expressão comum (CEL, na sigla em inglês)Para mais informações, consulte a referência de linguagem do comparador de CEL.
Por exemplo, para permitir o acesso a
example.com
da tag desejada, adicione o seguinte ao arquivo YAML criado para osessionMatcher
:sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"
Substitua
TAG_VALUE
pela tag que você quer permitir, do tipotagValues/1234
.Importe as regras que você criou:
gcloud network-security gateway-security-policies rules import RULE_NAME \ --source=RULE_FILE.yaml \ --location=REGION \ --gateway-security-policy=POLICY_NAME
testar a conectividade
Para testar a conectividade, use o comando curl
de qualquer VM associada
à tag TAG_VALUE
:
curl -x https://IPv4_ADDRESS:443 http://example.com
--proxy-insecure
Substitua IPv4_ADDRESS
pelo endereço IPv4 da sua
instância do Secure Web Proxy.