In diesem Leitfaden erfahren Sie, wie Sie mithilfe von URL-Listen URLs definieren, auf die Ihre Nutzer zugreifen können.
Hinweise
Schließen Sie die Ersteinrichtungsschritte ab.
Prüfen Sie, ob Sie die Google Cloud CLI 406.0.0 oder höher installiert haben:
gcloud version | head -n1
Wenn Sie eine frühere Version der gcloud CLI installiert haben, aktualisieren Sie die Version:
gcloud components update --version=406.0.0
Secure Web Proxy-Instanz mit einer leeren Richtlinie erstellen
Zum Erstellen einer Secure Web Proxy-Instanz erstellen Sie zuerst eine leere Sicherheitsrichtlinie und dann einen Web-Proxy.
Leere Sicherheitsrichtlinie erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Secure Web Proxy.
Klicken Sie auf den Tab Richtlinien.
Klicken Sie auf Richtlinie erstellen.
Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, z. B.
myswppolicy
.Geben Sie eine Beschreibung der Richtlinie ein, z. B.
My new swp policy
.Wählen Sie in der Liste Regionen die Region aus, in der Sie die Richtlinie erstellen möchten.
Klicken Sie auf Erstellen.
Cloud Shell
Erstellen Sie die Datei
POLICY_FILE
.yaml mit Ihrem bevorzugten Texteditor. Ersetzen SiePOLICY_FILE
durch den Dateinamen, den Sie für die Richtliniendatei verwenden möchten.Fügen Sie der erstellten YAML-Datei Folgendes hinzu:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME description: POLICY_DESCRIPTION
Ersetzen Sie Folgendes:
PROJECT_NAME
: Name Ihres ProjektsREGION
: die Region, für die diese Richtlinie giltPOLICY_NAME
: der Name der Richtlinie, die Sie erstellenPOLICY_DESCRIPTION
: die Beschreibung der Richtlinie, die Sie erstellen
Sicherheitsrichtlinie importieren:
gcloud network-security gateway-security-policies import POLICY_NAME \ --source=POLICY_FILE.yaml \ --location=REGION
Web-Proxy erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Secure Web Proxy.
Klicken Sie auf Web-Proxy einrichten.
Geben Sie einen Namen für den Web-Proxy ein, den Sie erstellen möchten, z. B.
myswp
.Geben Sie eine Beschreibung des Web-Proxys ein, z. B.
My new swp
.Wählen Sie in der Liste Regionen die Region aus, in der Sie den Web-Proxy erstellen möchten.
Wählen Sie in der Liste Netzwerk das Netzwerk aus, in dem Sie den Web-Proxy erstellen möchten.
Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, in dem Sie den Web-Proxy erstellen möchten.
Geben Sie die IP-Adresse des Web-Proxys ein.
Wählen Sie in der Liste Zertifikat das Zertifikat aus, das Sie zum Erstellen des Web-Proxys verwenden möchten.
Wählen Sie in der Liste Richtlinie die Richtlinie aus, die Sie erstellt haben, um den Web-Proxy zu verknüpfen.
Klicken Sie auf Erstellen.
Cloud Shell
Erstellen Sie die Datei
GATEWAY_FILE
.yaml mit Ihrem bevorzugten Texteditor. Ersetzen SieGATEWAY_FILE
durch den gewünschten Dateinamen für die Web-Proxy-Datei.Fügen Sie der erstellten YAML-Datei Folgendes hinzu:
name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME type: SECURE_WEB_GATEWAY ports: [GATEWAY_PORT_NUMBERS] certificateUrls: [CERTIFICATE_URLS] gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME network: projects/PROJECT_NAME/global/networks/NETWORK_NAME subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME addresses: [GATEWAY_IP_ADDRESS] scope: samplescope
Ersetzen Sie Folgendes:
GATEWAY_NAME
: der Name für diese InstanzGATEWAY_PORT_NUMBERS
: eine Liste von Portnummern für dieses Gateway, z. B.[80,443]
CERTIFICATE_URLS
: eine Liste von SSL-Zertifikat-URLsSUBNET_NAME
: der Name des Subnetzes, dasGATEWAY_IP_ADDRESS
enthältGATEWAY_IP_ADDRESS
: eine optionale Liste von IP-Adressen für Ihre Secure Web Proxy-Instanzen in den Proxy-Subnetzen, die zuvor in den ersten Einrichtungsschritten erstellt wurdenWenn Sie keine IP-Adressen auflisten möchten, lassen Sie das Feld weg, damit der Web-Proxy eine IP-Adresse für Sie auswählt.
Erstellen Sie eine Secure Web Proxy-Instanz:
gcloud network-services gateways import GATEWAY_NAME \ --source=GATEWAY_FILE.yaml \ --location=REGION
Verbindung testen
Testen Sie die Konnektivität mit dem Befehl curl
von einer beliebigen VM in Ihrem VPC-Netzwerk (Virtual Private Cloud):
curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
Ein 403 Forbidden
-Fehler wird erwartet.
URL-Liste erstellen
Führen Sie die Aufgaben in den folgenden Abschnitten aus, um eine URL-Liste zu erstellen und eine Regel hinzuzufügen.
URL-Liste erstellen und konfigurieren
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Secure Web Proxy.
Klicken Sie auf den Tab URL-Listen.
Klicken Sie auf URL-Liste erstellen.
Geben Sie einen Namen für die URL-Liste ein, die Sie erstellen möchten, z. B.
myurllist
.Geben Sie eine Beschreibung der URL-Liste ein, zum Beispiel
My new URL list
.Wählen Sie in der Liste Regionen die Region aus, in der Sie die URL-Liste erstellen möchten.
Klicken Sie auf Listen hochladen, um eine Liste der abzugleichenden Hosts, URLs oder Muster hochzuladen. Weitere Informationen finden Sie in der Syntaxreferenz zu UrlList.
Klicken Sie auf Erstellen.
Cloud Shell
Verwenden Sie einen Texteditor Ihrer Wahl, um die Datei URL_LIST_FILE
.yaml. Replace
URL_LIST_FILE mit dem gewünschten Dateinamen zu erstellen.name: projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME values: URL_LIST
Ersetzen Sie Folgendes:
PROJECT_ID
: Ihre ProjektnummerREGION
: die Region, für die diese URL-Liste giltURL_LIST_NAME
: ein Name für die URL-Liste, die Sie erstellenURL_LIST
: die Liste der Hosts, URLs oder Muster, die abgeglichen werden sollen
Weitere Informationen finden Sie in der Syntaxreferenz zu UrlList.
Hier sehen Sie ein Beispiel für eine URL-Listenregeldatei:
name: projects/PROJECT_ID/locations/REGION/urlLists/example-org-allowed-list values: - www.example.com - about.example.com - "*.google.com" - "github.com/example-org/*"
Das Sternchen (
*
) hat in YAML eine besondere Bedeutung. Daher müssen Sie URLs, die das Zeichen*
enthalten, in Anführungszeichen setzen.Fügen Sie die URL-Liste hinzu, damit von einer Secure Web Proxy-Regel darauf verwiesen werden kann:
gcloud network-security url-lists import URL_LIST_NAME \ --location=REGION \ --project=PROJECT_ID \ --source=URL_LIST_FILE.yaml
Regel hinzufügen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Secure Web Proxy.
Wählen Sie in der Projektauswahl Ihre Organisations-ID oder den Ordner aus, der Ihre Richtlinie enthält.
Klicken Sie auf den Namen Ihrer Richtlinie.
Klicken Sie auf Regel hinzufügen.
Füllen Sie die Regelfelder aus:
- Name
- Beschreibung
- Status
- Priorität: die numerische Auswertungsreihenfolge der Regel. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei
0
die höchste Priorität ist. - Geben Sie im Abschnitt Action (Aktion) an, ob Verbindungen, die der Regel entsprechen, zugelassen (Allow) oder abgelehnt (Deny) werden.
Geben Sie im Abschnitt Sitzungsübereinstimmung den Namen der URL-Liste ein, die Sie zuvor erstellt haben. Beispiel:
sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"
Wenn Sie die TLS-Prüfung aktivieren möchten, wählen Sie TLS-Prüfung aktivieren aus.
Geben Sie im Abschnitt Anwendungsübereinstimmung die Kriterien für den Abgleich der Anfrage an.
Klicken Sie auf Erstellen.
Klicken Sie auf Regel hinzufügen, um eine weitere Regel hinzuzufügen.
Klicken Sie auf Erstellen, um die Richtlinie zu erstellen.
Cloud Shell
Erstellen Sie die Datei
RULE_FILE
.yaml mit einem Texteditor. Ersetzen SieRULE_FILE
durch den gewünschten Dateinamen.name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME basicProfile: ALLOW enabled: true priority: PRIORITY_VALUE description: RULE_DESCRIPTION sessionMatcher: SESSION_CEL_EXPRESSION applicationMatcher: APPLICATION_CEL_EXPRESSION
Ersetzen Sie Folgendes:
PROJECT_ID
: Ihre ProjektnummerREGION
: die Region, für die diese Regel giltPOLICY_NAME
: der Name einer vorhandenenGatewaySecurityPolicy
, die von Ihrer Secure Web Proxy-Instanz verwendet wirdRULE_NAME
: ein Name für dieGatewaySecurityPolicyRule
, die Sie erstellenPRIORITY_VALUE
: ein Prioritätswert für diese Regel; niedrigere Zahlen entsprechen höheren PrioritätenRULE_DESCRIPTION
: eine Beschreibung der Richtlinie, die Sie erstellenSESSION_CEL_EXPRESSION
: ein CEL-Ausdruck (Common Expression Language) für die SitzungAPPLICATION_CEL_EXPRESSION
: ein CEL-Ausdruck für die Anwendung
Hier sehen Sie ein Beispiel für eine Regeldatei:
name: projects/PROJECT_ID/locations/REGION/urlLists/allow-repos basicProfile: ALLOW enabled: true priority: 100 description: Allow access to our list of known code repos. sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"
Fügen Sie mithilfe der URL-Liste, die Sie zuvor erstellt haben, eine Secure Web-Proxy-Regel hinzu:
gcloud network-security gateway-security-policies rules import RULE_NAME \ --location=REGION \ --project=PROJECT_ID \ --source=RULE_FILE.yaml \ --gateway-security-policy=POLICY_NAME
Verbindung testen
Testen Sie die Konnektivität mit dem folgenden curl
-Befehl:
curl -x https://SWP_IP_ADDRESS:SWP_PORT_NUMBER HTTP_TEST_ADDRESS
--proxy-insecure
Ersetzen Sie Folgendes:
SWP_IP_ADDRESS
: die IP-Adresse zu Ihrem Web-ProxySWP_PORT_NUMBER
: die Portnummer für Ihren Web-Proxy, z. B.443
HTTP_TEST_ADDRESS
: eine zu testende Adresse wiehttps://www.example.com
, die mit einem Host oder URL-Eintrag in IhrerURL_LIST
übereinstimmt
Die Anfrage sollte eine erfolgreiche Antwort zurückgeben.