Para centralizar a implantação do proxy seguro da Web em várias redes VPC, disponibilize o proxy seguro da Web usando um anexo de serviço do Private Service Connect.
A implantação do Secure Web Proxy com o Private Service Connect envolve as seguintes etapas:
- Crie uma política e regras do Secure Web Proxy.
- Crie uma instância do Secure Web Proxy que use sua política.
- Crie um anexo de serviço para publicar a instância do proxy seguro da Web como um serviço do Private Service Connect.
- Crie um endpoint de consumidor do Private Service Connect em cada rede VPC que precisa se conectar ao Secure Web Proxy.
- Direcione o tráfego de saída da sua carga de trabalho para a instância centralizada do proxy seguro da Web na região.
Antes de começar
Antes de concluir as etapas nesta página, siga as etapas de configuração inicial.
Criar e configurar uma instância do Secure Web Proxy
Neste guia, descrevemos como criar uma política e regras do Secure Web Proxy que correspondem ao tráfego por sessão.
Para informações sobre como configurar opcionalmente a inspeção TLS, consulte Ativar a inspeção TLS.
Para informações sobre como configurar opcionalmente a correspondência no nível do aplicativo, consulte Implantar uma instância do Secure Web Proxy.
Criar uma política do Secure Web Proxy
Console
No console do Google Cloud , acesse a página Políticas de SWP.
Clique em Criar uma política.
Insira um nome para a política que você quer criar, como
myswppolicy.Insira uma descrição da política.
Na lista Regiões, selecione a região em que você quer criar a política de proxy da Web.
Clique em Criar.
Cloud Shell
Crie um arquivo
policy.yaml.description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1Substitua:
PROJECT_ID: o ID do projetoREGION: a região da política
Crie uma política do Secure Web Proxy com base em
policy.yaml.gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION
Adicionar regras do Secure Web Proxy à sua política
Configure regras do proxy seguro da Web para permitir o tráfego de saída de cada carga de trabalho.
Nesta seção, mostramos como criar uma regra para permitir o tráfego de cargas de trabalho identificadas por tag do Resource Manager ou conta de serviço. Para informações sobre como corresponder o tráfego de outras maneiras, consulte Referência da linguagem de correspondência da CEL.
Console
No console do Google Cloud , acesse a página Políticas de SWP.
Clique no nome da sua política.
Para adicionar regras que permitam que as cargas de trabalho acessem a Internet, faça o seguinte:
- Clique em Adicionar regra.
- Insira uma prioridade. As regras são avaliadas da prioridade mais alta para a mais baixa, em que
0é a mais alta. - Insira um nome.
- Digite uma descrição.
- Insira um status.
- Em Ação, selecione Permitir.
- Clique em Status e selecione Ativado.
Na seção Correspondência de sessão, especifique os critérios de correspondência da sessão.
Por exemplo, para permitir o tráfego para google.com de cargas de trabalho com o ID do valor da tag do Resource Manager
tagValues/123456, insira o seguinte:source.matchTag('tagValues/123456') && host() == 'google.com'Para permitir o tráfego para google.com de cargas de trabalho que usam a conta de serviço
account-name@my-project.iam.gserviceaccount.com, insira o seguinte:source.matchServiceAccount('account-name@my-project.iam.gserviceaccount.com') && host() == 'google.com'
Clique em Criar.
Cloud Shell
Para cada regra que você quer adicionar, faça o seguinte:
Crie um arquivo
rule.yamle especifique critérios para corresponder à sessão.Para permitir o tráfego para um domínio específico de cargas de trabalho identificadas pelo ID do valor da tag do Resource Manager, crie o seguinte arquivo:
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME description: Allow traffic based on tag enabled: true priority: PRIORITY basicProfile: ALLOW sessionMatcher: source.matchTag('TAG_VALUE_ID') && host() == 'DOMAIN_NAME'Substitua:
PROJECT_ID: o ID do projetoREGION: a região da políticaRULE_NAME: o nome da regraPRIORITY: a prioridade da regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que0é a mais alta.TAG_VALUE_ID: o ID do valor da tag das cargas de trabalho para permitir o tráfegoDOMAIN_NAME: o nome de domínio para permitir o tráfego.
Para permitir o tráfego para um domínio específico de cargas de trabalho que usam uma conta de serviço, crie o seguinte arquivo:
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME description: Allow traffic based on service account enabled: true priority: PRIORITY basicProfile: ALLOW sessionMatcher: source.matchServiceAccount('SERVICE_ACCOUNT') && host() == 'DOMAIN_NAME'Substitua
SERVICE_ACCOUNTpelo nome da conta de serviço.
Para atualizar sua política com a regra definida em
rule.yaml, use o seguinte comando:gcloud network-security gateway-security-policies rules import RULE_NAME \ --source=rule.yaml \ --location=REGION \ --gateway-security-policy=policy1
Implantar uma instância do Secure Web Proxy
Implante uma instância do Secure Web Proxy no modo de roteamento explícito na rede de nuvem privada virtual (VPC) que você quer usar para o tráfego de saída. Ao criar a instância, associe-a à política e às regras criadas nas etapas anteriores.
A publicação do proxy seguro da Web com um anexo de serviço do Private Service Connect não é compatível com o modo de roteamento do próximo salto.
Para informações sobre como configurar a instância, consulte Configurar um proxy da Web. Não é necessário concluir as outras etapas nessa página no momento.
Implantar o proxy seguro da Web como um serviço do Private Service Connect em um modelo hub-and-spoke
Esta seção descreve como implantar o Secure Web Proxy como um serviço do Private Service Connect usando um modelo hub-and-spoke para centralizar o gerenciamento do tráfego de saída.
Publicar o Proxy seguro da Web como um serviço do Private Service Connect
Para publicar o proxy seguro da Web como um serviço, crie uma sub-rede e um anexo de serviço do Private Service Connect. A sub-rede e o anexo de serviço precisam compartilhar a mesma região que os endpoints do Private Service Connect que acessam o anexo de serviço.
Criar uma sub-rede para o Private Service Connect
Para criar uma sub-rede para o Private Service Connect, faça o seguinte:
Console
No console do Google Cloud , acesse a página Redes VPC.
Clique no nome de uma rede VPC para mostrar a página Detalhes da rede VPC.
Clique em Sub-redes.
Clique em Add subnet. No painel exibido, execute as ações a seguir:
- Forneça um Nome.
- Selecione uma Região.
- Na seção Finalidade, selecione Private Service Connect.
- Em Tipo de pilha de IP, selecione IPv4 (pilha única) ou IPv4 e IPv6 (pilha dupla).
- Digite um intervalo de IPv4. Por exemplo,
10.10.10.0/24. - Se você estiver criando uma sub-rede de pilha dupla, defina o tipo de acesso IPv6 como Interno.
- Clique em Adicionar.
Cloud Shell
Escolha uma destas opções:
Para criar uma sub-rede do Private Service Connect somente IPv4, faça o seguinte:
gcloud compute networks subnets create SUBNET_NAME \ --network=NETWORK_NAME \ --region=REGION \ --range=SUBNET_RANGE \ --purpose=PRIVATE_SERVICE_CONNECTPara criar uma sub-rede de pilha dupla do Private Service Connect, faça o seguinte:
gcloud compute networks subnets create SUBNET_NAME \ --network=NETWORK_NAME \ --region=REGION \ --stack-type=IPV4_IPV6 \ --ipv6-access-type=INTERNAL \ --range=SUBNET_RANGE \ --purpose=PRIVATE_SERVICE_CONNECT
Substitua:
SUBNET_NAME: o nome a ser atribuído à subrede.NETWORK_NAME: o nome da VPC para a nova sub-rede.REGION: a região da nova sub-rede. Precisa ser a mesma região do serviço que você está publicando.SUBNET_RANGE: o intervalo de endereços IPv4 a ser usado na sub-rede, por exemplo,10.10.10.0/24.
Criar um anexo de serviço
Para publicar o proxy seguro da Web como um anexo de serviço na rede VPC central (hub), faça o seguinte.
Esta seção descreve como criar um anexo de serviço que aceita automaticamente todas as conexões. Para informações sobre aprovação explícita ou outras opções de configuração, consulte Publicar um serviço com aprovação explícita.
Console
No console do Google Cloud , acesse a página Private Service Connect.
Clique na guia Serviços publicados.
Clique em Publicar serviço.
Na seção Detalhes do destino, selecione Proxy da Web seguro.
Selecione a instância do Secure Web Proxy que você quer publicar. Os campos de rede e região são preenchidos com os detalhes da instância do Secure Web Proxy selecionada.
Em Nome do serviço, insira um nome para o anexo de serviço.
Selecione uma ou mais sub-redes do Private Service Connect para o serviço. A lista é preenchida com sub-redes da rede VPC da instância do Secure Web Proxy selecionada.
Na seção Preferência de conexão, selecione Aceitar automaticamente todas as conexões.
Clique em Adicionar serviço.
Cloud Shell
Use o comando gcloud compute service-attachments create.
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \
--target-service=SWP_INSTANCE_URI \
--connection-preference=ACCEPT_AUTOMATIC \
--nat-subnets=NAT_SUBNET_NAME \
--region=REGION \
--project=PROJECT \
Substitua:
SERVICE_ATTACHMENT_NAME: o nome do anexo de serviçoSWP_INSTANCE_URI: o URI da instância do Secure Web Proxy, no seguinte formato://networkservices.googleapis.com/projects/PROJECT_ID/locations/REGION/gateways/INSTANCE_NAMENAT_SUBNET_NAME: o nome da sub-rede do Private Service ConnectREGION: a região da implantação do Secure Web ProxyPROJECT: o projeto da implantação do Secure Web Proxy
Criar endpoints
Crie um endpoint em cada rede VPC e região que precisa enviar tráfego de saída pela instância centralizada do Secure Web Proxy. Repita as etapas a seguir para cada endpoint que você precisar criar.
Console
No console do Google Cloud , acesse a página Private Service Connect.
Clique na guia Endpoints conectados.
Clique em Conectar endpoint.
Em Destino, selecione Serviço publicado.
Em Serviço de destino, digite o URI do anexo de serviço ao qual você quer se conectar.
O URI do anexo de serviço está neste formato:
projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAMEEm Nome do endpoint, digite um nome para usar o endpoint.
Selecione uma Rede para o endpoint.
Selecione uma Sub-rede para o endpoint.
Selecione um Endereço IP para o endpoint. Se você precisar de um novo endereço IP, crie um:
- Clique no menu suspenso Endereço IP e selecione Criar endereço IP.
- Digite um Nome e uma Descrição opcional para o endereço IP.
- Selecione uma versão do IP.
Se você estiver criando um endereço IPv4, selecione Atribuir automaticamente ou Deixe-me escolher.
Se você selecionou Quero escolher, insira o Endereço IP personalizado que quer usar.
Clique em Reservar.
Clique em Adicionar endpoint.
Cloud Shell
Reserve um endereço IP interno para atribuir ao endpoint.
gcloud compute addresses create ADDRESS_NAME \ --region=REGION \ --subnet=SUBNET \ --ip-version=IP_VERSIONSubstitua:
ADDRESS_NAME: o nome a ser atribuído ao endereço IP reservado.REGION: a região do endereço IP do endpoint. Precisa ser a mesma região que contém o anexo de serviço do produtor de serviço.SUBNET: o nome da sub-rede do endereço IP do endpoint.IP_VERSION: a versão do IP do endereço IP, que pode serIPV4ouIPV6. O padrão éIPV4. Para especificarIPV6, o endereço IP precisa estar conectado a uma sub-rede com um intervalo de endereços IPv6 interno.
Crie uma regra de encaminhamento para conectar o endpoint ao anexo de serviço do produtor de serviço.
gcloud compute forwarding-rules create ENDPOINT_NAME \ --region=REGION \ --network=NETWORK_NAME \ --address=ADDRESS_NAME \ --target-service-attachment=SERVICE_ATTACHMENT
Substitua:
ENDPOINT_NAME: o nome a ser atribuído ao endpoint.REGION: a região do endpoint. Precisa ser a mesma região que contém o anexo de serviço do produtor de serviço.NETWORK_NAME: o nome da rede VPC do endpoint.ADDRESS_NAME: o nome do endereço reservado.SERVICE_ATTACHMENT: o URI do anexo de serviço do produtor de serviço. Por exemplo:projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
Direcionar cargas de trabalho para endpoints do Private Service Connect
Configure variáveis de ambiente de proxy para que cada carga de trabalho use o endereço IP de um endpoint do Private Service Connect para o tráfego de saída.
Por exemplo, para uma carga de trabalho em um ambiente Linux ou macOS, use a
linha de comando para configurar temporariamente as variáveis de ambiente HTTP_PROXY e HTTPS_PROXY:
export HTTP_PROXY="http://ENDPOINT_IP_ADDRESS:HTTP_PORT"
export HTTPS_PROXY="https://ENDPOINT_IP_ADDRESS:HTTPS_PORT"
Substitua:
ENDPOINT_IP_ADDRESS: o endereço IP interno do seu endpointHTTP_PORT: a porta para receber tráfego HTTPHTTPS_PORT: a porta para receber tráfego HTTPS
Para informações sobre como definir variáveis de proxy permanentemente no ambiente das suas cargas de trabalho, consulte a documentação do sistema operacional.
A seguir
- Configurar a inspeção de TLS
- Usar tags para criar políticas
- Atribuir endereços IP estáticos para o tráfego de saída
- Outras considerações sobre o modo de anexo de serviço do Private Service Connect