Secure Web Proxy-Instanz bereitstellen
In dieser Kurzanleitung erfahren Sie, wie Sie eine Secure Web Proxy-Instanz bereitstellen und testen.
Hinweise
Zum Ausführen der Befehle auf dieser Seite richten Sie die Google Cloud CLI in einer der folgenden Entwicklungsumgebungen:
Cloud Shell
Wenn Sie ein Onlineterminal mit bereits eingerichteter gcloud CLI verwenden möchten, aktivieren Sie Cloud Shell.
Am Ende dieser Seite wird eine Cloud Shell-Sitzung gestartet und . Das Initialisieren der Sitzung kann einige Sekunden dauern.
Lokale Shell
So verwenden Sie eine lokale Entwicklungsumgebung:
Google Cloud-Projekt erstellen oder auswählen.
Console
Führen Sie in der Google Cloud Console auf der Seite für die Projektauswahl Erstellen Sie ein Google Cloud-Projekt oder wählen Sie eines aus.
Cloud Shell
Erstellen Sie ein Google Cloud-Projekt:
gcloud projects create PROJECT_ID
Ersetzen Sie
PROJECT_ID
durch die Projekt-ID, die SieWählen Sie das von Ihnen erstellte Google Cloud-Projekt aus:
gcloud config set project PROJECT_ID
Erstellen Sie eine Linux-VM-Instanz:
gcloud compute instances create swp-test-vm \ --subnet=default \ --zone=ZONE \ --image-project=debian-cloud \ --image-family=debian-11
Die Compute Engine erteilt dem Nutzer, der die VM mit der Compute Engine erstellt, Rolle "Instanzadministrator" (
roles/compute.instanceAdmin
). Compute Engine fügt ihn der sudo-Gruppe hinzu.Firewallregel erstellen
gcloud compute firewall-rules create default-allow-ssh \ --direction=INGRESS \ --priority=1000 \ --network=default \ --action=ALLOW \ --rules=tcp:22 \ --source-ranges=0.0.0.0/0
Secure Web Proxy-Richtlinie erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Secure Web Proxy.
Klicken Sie auf den Tab Richtlinien.
Klicken Sie auf Richtlinie erstellen.
Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, z. B.
myswppolicy
.Geben Sie eine Beschreibung der Richtlinie ein, z. B.
My new swp policy
.Wählen Sie in der Liste Regionen die Region aus, in der Sie den Erstellen Sie die Web-Proxy-Richtlinie.
Wenn Sie die TLS-Prüfung für den Webproxy konfigurieren möchten, wählen Sie Konfigurieren Sie die TLS-Prüfung.
Wählen Sie in der Liste TLS-Prüfungsrichtlinie die von Ihnen erstellte TLS-Prüfungsrichtlinie aus. Die TLS-Prüfungsrichtlinie wird nur dann in der Liste angezeigt, wenn Sie sie erstellt haben.
Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Weiter und dann auf Regel hinzufügen. Weitere Informationen finden Sie unter Secure Web Proxy-Regeln erstellen
Klicken Sie auf Erstellen.
Cloud Shell
Einige Web-Proxy-Richtlinien erfordern, dass der Traffic TLS-verschlüsselt ist für die Bewertung. Je nachdem, ob Sie TLS-Verschlüsselung Sie können eine der folgenden Methoden verwenden, um eine Richtlinie zu erstellen:
Erstellen Sie eine Richtlinie mit der TLS-Prüfungskonfiguration.
Um die TLS-Prüfung zu aktivieren, gehen Sie wie unter TLS-Prüfung aktivieren und erstellen Sie dann die Datei
policy.yaml
:description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
Erstellen Sie eine Richtlinie ohne die TLS-Prüfungskonfiguration.
Wenn Sie die TLS-Prüfung nicht aktivieren möchten, erstellen Sie die Datei
policy.yaml
:description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
Erstellen Sie die Secure Web Proxy-Richtlinie:
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION
Secure Web Proxy-Regeln erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Secure Web Proxy.
Klicken Sie auf den Tab Richtlinien.
Klicken Sie auf den Namen Ihrer Richtlinie.
Klicken Sie auf Regel hinzufügen.
Füllen Sie die Regelfelder aus:
- Name
- Beschreibung
- Status
- Priorität: die numerische Auswertungsreihenfolge der Regel. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei
0
die höchste Priorität ist. - Geben Sie im Bereich Aktion an, ob die übereinstimmenden wenn die Regel zugelassen (Allow) oder abgelehnt (Deny) ist.
- Geben Sie im Bereich Sitzungsabgleich die Kriterien für
die mit der Sitzung übereinstimmen. Weitere Informationen zur Syntax für
SessionMatcher
, siehe Sprachreferenz für CEL-Matcher. - Wenn Sie die TLS-Prüfung aktivieren möchten, wählen Sie TLS-Prüfung aktivieren aus.
- Geben Sie im Abschnitt Anwendungsabgleich die Kriterien für die mit der Anfrage übereinstimmen. Wenn Sie die Regel für TLS nicht aktivieren kann die Anfrage nur mit HTTP-Traffic übereinstimmen.
- Klicken Sie auf Erstellen.
Klicken Sie auf Regel hinzufügen, um eine weitere Regel hinzuzufügen.
Klicken Sie auf Erstellen, um die Richtlinie zu erstellen.
Cloud Shell
Je nachdem, ob Sie die TLS-Verschlüsselung nutzen möchten, verwenden Sie eine der Methoden zum Erstellen einer Regel:
Erstellen Sie eine Regel mit der TLS-Prüfungskonfiguration.
Erstellen Sie die Datei
rule.yaml
, um die TLS-Prüfung zu aktivieren:name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org description: Allow wikipedia enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'wikipedia.org' applicationMatcher: request.path.contains('index.html') tlsInspectionEnabled: true
Erstellen Sie eine Regel ohne die TLS-Prüfungskonfiguration.
Wenn Sie die TLS-Prüfung nicht aktivieren möchten, erstellen Sie die Datei
rule.yaml
:name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org description: Allow wikipedia.org enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'wikipedia.org'
Erstellen Sie die Sicherheitsrichtlinienregel:
gcloud network-security gateway-security-policies rules import allow-wikipedia-org \ --source=rule.yaml \ --location=REGION \ --gateway-security-policy=policy1
Web-Proxy einrichten
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Secure Web Proxy.
Klicken Sie auf den Tab Web-Proxys.
Klicken Sie auf Web-Proxy einrichten.
Geben Sie einen Namen für den Webproxy ein, den Sie erstellen möchten, z. B.
myswp
.Geben Sie eine Beschreibung des Web-Proxys ein, z. B.
My new swp
.Wählen Sie in der Liste Regionen die Region aus, in der Sie die Anwendung erstellen möchten. Web-Proxy.
Wählen Sie in der Liste Netzwerk das Netzwerk aus, in dem Sie das Netzwerk erstellen möchten. Web-Proxy.
Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, für das Sie Erstellen Sie den Web-Proxy.
Geben Sie die IP-Adresse des Web-Proxys ein.
Wählen Sie in der Liste Zertifikat das Zertifikat aus, das Sie verwenden möchten. um den Web-Proxy zu erstellen.
Wähle in der Liste Richtlinie die Richtlinie aus, die du verknüpfen möchtest. mit dem Web-Proxy verknüpft ist.
Klicken Sie auf Erstellen.
Cloud Shell
Erstellen Sie die Datei
gateway.yaml
:name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["10.128.0.99"] ports: [443] certificateUrls: ["projects/PROJECT_ID/locations/REGION/certificates/cert1"] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/default subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/default scope: samplescope
So erstellen Sie eine Secure Web Proxy-Instanz:
gcloud network-services gateways import swp1 \ --source=gateway.yaml \ --location=REGION
Die Bereitstellung einer Secure Web Proxy-Instanz kann mehrere Minuten dauern.
Verbindung testen
Stellen Sie eine Verbindung zur VM her, die Sie zuvor bereitgestellt haben:
gcloud compute ssh swp-test-vm \ --zone=ZONE
Secure Web Proxy-Instanz testen:
curl -x http://10.128.0.99:80 https://wikipedia.org
Wenn Sie die Secure Web Proxy-Instanz für die TLS-Prüfung konfiguriert haben, verwenden Sie den folgenden Befehl:
curl -x http://10.128.0.99:80 https://wikipedia.org/index.html
Bereinigen
Mit den folgenden Schritten vermeiden Sie, dass Ihrem Google Cloud-Konto die in dieser Anleitung verwendeten Ressourcen in Rechnung gestellt werden:
Secure Web Proxy-Instanz swp1
löschen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Secure Web Proxy. Sie können eine Liste aller Web-Proxys aufrufen, oder nur in einem bestimmten Netzwerk.
Wählen Sie den Web-Proxy aus, den Sie löschen möchten.
Klicken Sie auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.
Cloud Shell
gcloud network-services gateways delete swp1 \
--location=REGION
Regel allow-wikipedia-org
löschen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Secure Web Proxy. Sie können die Liste nach einem bestimmten Netzwerk filtern oder alle Webproxys aufrufen.
Klicken Sie auf den Tab Richtlinien.
Klicken Sie auf die Richtlinie.
Wählen Sie die Regel aus, die Sie löschen möchten.
Klicken Sie auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.
Cloud Shell
gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
--location=REGION \
--gateway-security-policy=policy1
Richtlinie „Secure Web Proxy“ policy1
löschen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Secure Web Proxy. Sie können eine Liste aller Web-Proxys aufrufen, oder nur in einem bestimmten Netzwerk.
Klicken Sie auf den Tab Richtlinien.
Wählen Sie die Richtlinie aus, die Sie löschen möchten.
Klicken Sie auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.
Cloud Shell
gcloud network-security gateway-security-policies delete policy1 \
--location=REGION
Löschen Sie die Linux-VM-Instanz swp-test-vm
.
Console
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.
Wählen Sie die Instanzen aus, die Sie löschen möchten.
Klicken Sie auf Löschen.
Cloud Shell
gcloud compute instances delete swp-test-vm