Panduan ini menunjukkan cara menggunakan daftar URL untuk menentukan URL yang dapat diakses pengguna Anda.
Sebelum memulai
Selesaikan langkah-langkah penyiapan awal.
Pastikan Anda telah menginstal Google Cloud CLI versi 406.0.0 atau yang lebih baru:
gcloud version | head -n1
Jika Anda telah menginstal versi gcloud CLI sebelumnya, update versi tersebut:
gcloud components update --version=406.0.0
Membuat instance Secure Web Proxy dengan kebijakan kosong
Untuk membuat instance Secure Web Proxy, buat kebijakan keamanan kosong terlebih dahulu, lalu buat proxy web.
Membuat kebijakan keamanan kosong
Konsol
Di konsol Google Cloud, buka halaman Network Security.
Klik Secure Web Proxy.
Klik tab Kebijakan.
Klik Buat kebijakan.
Masukkan nama untuk kebijakan yang ingin Anda buat, seperti
myswppolicy
.Masukkan deskripsi kebijakan, seperti
My new swp policy
.Dalam daftar Regions, pilih region tempat Anda ingin membuat kebijakan.
Klik Create.
Cloud Shell
Gunakan editor teks pilihan Anda untuk membuat file
POLICY_FILE
.yaml. GantiPOLICY_FILE
dengan nama file yang Anda inginkan untuk file kebijakan.Tambahkan kode berikut ke file YAML yang Anda buat:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME description: POLICY_DESCRIPTION
Ganti kode berikut:
PROJECT_NAME
: nama project AndaREGION
: region tempat kebijakan ini berlakuPOLICY_NAME
: nama kebijakan yang Anda buatPOLICY_DESCRIPTION
: deskripsi kebijakan yang Anda buat
Impor kebijakan keamanan:
gcloud network-security gateway-security-policies import POLICY_NAME \ --source=POLICY_FILE.yaml \ --location=REGION
Membuat proxy web
Konsol
Di konsol Google Cloud, buka halaman Network Security.
Klik Secure Web Proxy.
Klik Siapkan proxy web.
Masukkan nama untuk proxy web yang ingin Anda buat, seperti
myswp
.Masukkan deskripsi proxy web, seperti
My new swp
.Di daftar Region, pilih region tempat Anda ingin membuat proxy web.
Dalam daftar Network, pilih jaringan tempat Anda ingin membuat proxy web.
Dalam daftar Subnetwork, pilih subnetwork tempat Anda ingin membuat proxy web.
Masukkan alamat IP proxy web.
Di daftar Certificate, pilih sertifikat yang ingin Anda gunakan untuk membuat proxy web.
Dalam daftar Kebijakan, pilih kebijakan yang Anda buat untuk mengaitkan proxy web.
Klik Create.
Cloud Shell
Gunakan editor teks pilihan Anda untuk membuat file
GATEWAY_FILE
.yaml. GantiGATEWAY_FILE
dengan nama file yang Anda inginkan untuk file proxy web.Tambahkan kode berikut ke file YAML yang Anda buat:
name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME type: SECURE_WEB_GATEWAY ports: [GATEWAY_PORT_NUMBERS] certificateUrls: [CERTIFICATE_URLS] gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME network: projects/PROJECT_NAME/global/networks/NETWORK_NAME subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME addresses: [GATEWAY_IP_ADDRESS] scope: samplescope
Ganti kode berikut:
GATEWAY_NAME
: nama untuk instance iniGATEWAY_PORT_NUMBERS
: daftar nomor port untuk gateway ini, seperti[80,443]
CERTIFICATE_URLS
: daftar URL sertifikat SSLSUBNET_NAME
: nama subnet yang berisiGATEWAY_IP_ADDRESS
GATEWAY_IP_ADDRESS
: daftar alamat IP opsional untuk instance Secure Web Proxy dalam subnet proxy yang sebelumnya dibuat di langkah penyiapan awalJika Anda memilih untuk tidak mencantumkan alamat IP, hapus kolom agar proxy web memilih alamat IP untuk Anda.
Buat instance Secure Web Proxy:
gcloud network-services gateways import GATEWAY_NAME \ --source=GATEWAY_FILE.yaml \ --location=REGION
Menguji konektivitas
Untuk menguji konektivitas, gunakan perintah curl
dari VM mana pun dalam jaringan Virtual Private Cloud (VPC):
curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
Error 403 Forbidden
diperkirakan akan terjadi.
Membuat daftar URL
Untuk membuat daftar URL dan menambahkan aturan, selesaikan tugas di bagian berikut.
Membuat dan mengonfigurasi daftar URL
Konsol
Di konsol Google Cloud, buka halaman Network Security.
Klik Secure Web Proxy.
Klik tab Daftar URL.
Klik Buat daftar URL.
Masukkan nama untuk daftar URL yang ingin Anda buat, seperti
myurllist
.Masukkan deskripsi daftar URL, seperti
My new URL list
.Di daftar Region, pilih region tempat Anda ingin membuat daftar URL.
Klik Upload daftar untuk mengupload daftar host, URL, atau pola yang akan dicocokkan. Untuk informasi selengkapnya, lihat referensi sintaksis UrlList.
Klik Create.
Cloud Shell
Gunakan editor teks pilihan Anda untuk membuat file URL_LIST_FILE
.yaml. Replace
URL_LIST_FILE` dengan nama file yang diinginkan.name: projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME values: URL_LIST
Ganti kode berikut:
PROJECT_ID
: nomor project AndaREGION
: region tempat daftar URL ini berlakuURL_LIST_NAME
: nama untuk daftar URL yang Anda buatURL_LIST
: daftar host, URL, atau pola yang akan dicocokkan
Untuk informasi selengkapnya, lihat referensi sintaksis UrlList.
Berikut adalah contoh file aturan daftar URL:
name: projects/PROJECT_ID/locations/REGION/urlLists/example-org-allowed-list values: - www.example.com - about.example.com - "*.google.com" - "github.com/example-org/*"
Karakter tanda bintang (
*
) memiliki arti khusus dalam YAML. Oleh karena itu, Anda harus menambahkan tanda kutip di sekitar URL yang menyertakan karakter*
.Tambahkan daftar URL agar dapat dirujuk oleh aturan Secure Web Proxy:
gcloud network-security url-lists import URL_LIST_NAME \ --location=REGION \ --project=PROJECT_ID \ --source=URL_LIST_FILE.yaml
Tambahkan aturan
Konsol
Di konsol Google Cloud, buka halaman Network Security.
Klik Secure Web Proxy.
Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.
Klik nama kebijakan Anda.
Klik Tambahkan Aturan.
Isi kolom aturan:
- Nama
- Deskripsi
- Status
- Prioritas: urutan evaluasi numerik aturan. Aturan
dievaluasi dari prioritas tertinggi ke terendah dengan
0
adalah prioritas tertinggi. - Di bagian Action, tentukan apakah koneksi yang cocok dengan aturan diizinkan (Allow) atau ditolak (Deny).
Di bagian Session Match, tentukan nama daftar URL yang Anda buat sebelumnya. Contoh:
sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"
Untuk mengaktifkan pemeriksaan TLS, pilih Enable TLS inspection.
Di bagian Application Match, tentukan kriteria untuk mencocokkan permintaan.
Klik Create.
Klik Tambahkan aturan untuk menambahkan aturan lain.
Klik Create untuk membuat kebijakan.
Cloud Shell
Gunakan editor teks pilihan Anda untuk membuat file
RULE_FILE
.yaml. GantiRULE_FILE
dengan nama file yang diinginkan.name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME basicProfile: ALLOW enabled: true priority: PRIORITY_VALUE description: RULE_DESCRIPTION sessionMatcher: SESSION_CEL_EXPRESSION applicationMatcher: APPLICATION_CEL_EXPRESSION
Ganti kode berikut:
PROJECT_ID
: nomor project AndaREGION
: region tempat aturan ini berlakuPOLICY_NAME
: namaGatewaySecurityPolicy
yang ada dan digunakan oleh instance Secure Web Proxy AndaRULE_NAME
: nama untukGatewaySecurityPolicyRule
yang Anda buatPRIORITY_VALUE
: nilai prioritas untuk aturan ini; angka yang lebih rendah sesuai dengan prioritas yang lebih tinggiRULE_DESCRIPTION
: deskripsi untuk kebijakan yang Anda buatSESSION_CEL_EXPRESSION
: ekspresi Common Expression Language (CEL) untuk sesiAPPLICATION_CEL_EXPRESSION
: ekspresi CEL untuk aplikasi
Berikut adalah contoh file aturan:
name: projects/PROJECT_ID/locations/REGION/urlLists/allow-repos basicProfile: ALLOW enabled: true priority: 100 description: Allow access to our list of known code repos. sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"
Tambahkan aturan Secure Web Proxy menggunakan daftar URL yang sebelumnya Anda buat:
gcloud network-security gateway-security-policies rules import RULE_NAME \ --location=REGION \ --project=PROJECT_ID \ --source=RULE_FILE.yaml \ --gateway-security-policy=POLICY_NAME
Menguji konektivitas
Untuk menguji konektivitas, gunakan perintah curl
berikut:
curl -x https://SWP_IP_ADDRESS:SWP_PORT_NUMBER HTTP_TEST_ADDRESS
--proxy-insecure
Ganti kode berikut:
SWP_IP_ADDRESS
: alamat IP ke proxy web AndaSWP_PORT_NUMBER
: nomor port untuk proxy web Anda, seperti443
HTTP_TEST_ADDRESS
: alamat yang akan diuji, sepertihttps://www.example.com
, yang cocok dengan entri host atau URL diURL_LIST
Anda
Permintaan akan menampilkan respons yang berhasil.