Membuat dan men-deploy instance Secure Web Proxy

Panduan memulai ini menjelaskan cara men-deploy dan menguji instance Secure Web Proxy. Langkah-langkah ini menjelaskan cara men-deploy Secure Web Proxy dalam mode perutean eksplisit, yang berfungsi sebagai proxy eksplisit.

Instance Secure Web Proxy dalam mode pemilihan rute eksplisit dapat di-deploy sebagai layanan Private Service Connect. Atau, Anda dapat men-deploy Secure Web Proxy dalam mode perutean next hop.

Men-deploy Secure Web Proxy dalam mode perutean eksplisit mencakup langkah-langkah berikut:

  1. Buat kebijakan Secure Web Proxy.
  2. Buat aturan Secure Web Proxy dan tambahkan ke kebijakan.
  3. Siapkan instance Secure Web Proxy dalam mode perutean eksplisit.
  4. Uji konektivitas dari instance virtual machine (VM) Linux untuk mengonfirmasi bahwa proxy dan kebijakannya berfungsi dengan benar.
Deploy Secure Web Proxy dalam mode pemilihan rute proxy eksplisit.
Men-deploy Secure Web Proxy dalam mode perutean proxy eksplisit (klik untuk memperbesar).

Sebelum memulai

  1. Selesaikan langkah-langkah penyiapan awal.

  2. Opsional: Untuk menjalankan contoh command line gcloud yang ditentukan dalam dokumen ini, instal Google Cloud CLI di salah satu lingkungan pengembangan berikut:

    Cloud Shell

    Untuk menggunakan terminal online dengan gcloud CLI yang sudah disiapkan, aktifkan Cloud Shell.

    Di bagian akhir halaman ini, sesi Cloud Shell akan dimulai dan menampilkan perintah command line. Diperlukan waktu beberapa detik untuk melakukan inisialisasi sesi.

    Jika sebelumnya Anda telah menginstal gcloud CLI, pastikan Anda memiliki versi terbaru yang tersedia dengan menjalankan perintah gcloud components update.

    Shell lokal

    Untuk menggunakan lingkungan pengembangan lokal, ikuti langkah-langkah berikut:

    1. Instal Google Cloud CLI.
    2. Menginisialisasi gcloud CLI

  3. Buat atau pilih project Google Cloud yang ada.

    Jika Anda tidak berencana untuk menyimpan resource yang Anda buat dalam prosedur ini, sebaiknya buat project, bukan memilih project yang ada. Setelah menyelesaikan langkah-langkah panduan memulai ini, Anda dapat menghapus project untuk menghapus semua resource yang terkait dengan project tersebut.

    Konsol

    Di konsol Google Cloud , pada halaman pemilih project, buat Google Cloud project atau pilih project yang sudah ada.

    Buka pemilih project

    Cloud Shell

    1. Buat Google Cloud project.

      gcloud projects create PROJECT_ID

      Ganti PROJECT_ID dengan project ID pilihan Anda.

    2. Pilih project Google Cloud yang Anda buat.

      gcloud config set project PROJECT_ID

  4. Buat instance VM Linux.

    gcloud compute instances create swp-test-vm \
    --subnet=default \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11

    Ganti ZONE dengan zona instance VM pengujian Anda.

    Compute Engine memberikan peran Admin Instance Compute (roles/compute.instanceAdmin) kepada pengguna yang membuat instance VM. Compute Engine juga menambahkan pengguna tersebut ke grup sudo.

  5. Membuat aturan firewall.

    gcloud compute firewall-rules create default-allow-ssh \
    --direction=INGRESS \
    --priority=1000 \
    --network=default \
    --action=ALLOW \
    --rules=tcp:22 \
    --source-ranges=0.0.0.0/0

Peran yang diperlukan

Pastikan Anda memiliki peran berikut untuk menyelesaikan tugas dalam tutorial ini:

Untuk informasi selengkapnya, lihat referensi berikut:

Membuat kebijakan Secure Web Proxy

Bagian ini menjelaskan langkah-langkah untuk membuat kebijakan Secure Web Proxy. Kebijakan ini kemudian dapat berfungsi sebagai penampung semua aturan keamanan yang mengatur alur traffic melalui Secure Web Proxy. Setelah membuat kebijakan, Anda dapat membuat aturan dan menambahkannya ke kebijakan.

Konsol

  1. Di konsol Google Cloud , buka halaman SWP Policies.

    Buka Kebijakan SWP

  2. Klik Buat kebijakan.

  3. Di kolom Name, masukkan nama untuk kebijakan, seperti myswppolicy.

  4. Di kolom Deskripsi, masukkan deskripsi untuk kebijakan, seperti My new swp policy.

  5. Untuk Regions, pilih region tempat Anda ingin membuat kebijakan, seperti us-central1.

  6. Jika Anda ingin membuat aturan untuk kebijakan, klik Tambahkan aturan. Untuk mengetahui informasi selengkapnya, lihat bagian Membuat aturan Secure Web Proxy.

  7. Klik Create.

Cloud Shell

  1. Gunakan editor teks pilihan Anda untuk membuat file policy.yaml.

  2. Tambahkan kode berikut ke file policy.yaml:

      description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/myswppolicy

    Ganti kode berikut:

    • PROJECT_ID: ID project Anda
    • REGION: region tempat kebijakan Anda dibuat, seperti us-central1

  3. Buat kebijakan Secure Web Proxy.

    gcloud network-security gateway-security-policies import myswppolicy \
    --source=policy.yaml \
    --location=REGION

Membuat aturan Secure Web Proxy

Bagian ini menjelaskan langkah-langkah untuk membuat aturan Secure Web Proxy. Aturan membantu menentukan kontrol akses sebenarnya untuk traffic web.

Dalam kebijakan yang sebelumnya Anda buat, Anda dapat menentukan aturan seperti allow-wikipedia-org. Aturan ini menentukan kriteria untuk mencocokkan sesi web, misalnya, mencocokkan host tertentu seperti www.wikipedia.org, lalu mengizinkan atau menolak traffic web.

Konsol

  1. Di konsol Google Cloud , buka halaman SWP Policies.

    Buka Kebijakan SWP

  2. Klik nama kebijakan Anda, seperti myswppolicy.

  3. Klik Tambahkan aturan.

  4. Untuk setiap aturan, lakukan hal berikut:

    1. Untuk Prioritas, masukkan urutan evaluasi numerik untuk aturan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi.

    2. Di kolom Nama, masukkan nama untuk aturan, seperti allow-wikipedia-org.

    3. Di kolom Deskripsi, masukkan deskripsi untuk aturan, seperti Allow wikipedia.org.

    4. Untuk Tindakan, pilih salah satu opsi berikut:

      • Izinkan: untuk mengizinkan permintaan koneksi yang cocok dengan aturan.
      • Tolak: untuk menolak permintaan koneksi yang cocok dengan aturan.

    5. Untuk kolom Status, pilih salah satu opsi berikut untuk penegakan aturan:

      • Diaktifkan: untuk menerapkan aturan pada instance Secure Web Proxy Anda.
      • Dinonaktifkan: agar tidak menerapkan aturan pada instance Secure Web Proxy Anda.

    6. Di bagian Session Match, tentukan kriteria untuk mencocokkan sesi, seperti host() == 'www.wikipedia.org'.

      Untuk mengetahui informasi selengkapnya tentang sintaksis untuk SessionMatcher, lihat Referensi bahasa pencocok CEL.

    7. Di bagian Pencocokan Aplikasi, tentukan kriteria untuk mencocokkan permintaan. Karena kita belum mengaktifkan aturan untuk inspeksi TLS, permintaan hanya dapat cocok dengan traffic HTTP.

      Untuk mengetahui informasi selengkapnya tentang pencocokan traffic TCP, lihat Mengonfigurasi aturan proxy TCP.

    8. Klik Create.

  5. Untuk menambahkan aturan lain, klik Tambahkan aturan.

Cloud Shell

  1. Gunakan editor teks pilihan Anda untuk membuat file rule.yaml.

  2. Tambahkan kode berikut ke file rule.yaml. Untuk mengetahui informasi selengkapnya tentang sintaksis untuk SessionMatcher, lihat referensi bahasa pencocok CEL.

    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'www.wikipedia.org'

    Ganti kode berikut:

    • PROJECT_ID: ID project Anda
    • REGION: region kebijakan Anda
    • RULE_NAME: nama aturan, seperti allow-wikipedia-org.

  3. Buat aturan kebijakan keamanan.

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
    --source=rule.yaml \
    --location=REGION \
    --gateway-security-policy=policy1

Menyiapkan proxy web

Bagian ini menjelaskan cara men-deploy Secure Web Proxy dalam mode perutean eksplisit, yang berfungsi sebagai proxy eksplisit. Bagian ini juga menjelaskan cara mengaitkan kebijakan dan aturan yang dibuat sebelumnya dengan instance Secure Web Proxy Anda, sehingga memastikan bahwa semua traffic yang mengalir melaluinya tunduk pada kontrol akses yang ditentukan.

Konsol

  1. Di konsol Google Cloud , buka halaman Web Proxies.

    Buka Web Proxy

  2. Klik Buat proxy web yang aman.

  3. Di kolom Nama, masukkan nama untuk proxy web, seperti myswp.

  4. Di kolom Deskripsi, masukkan deskripsi untuk proxy web, seperti My new swp.

  5. Untuk Routing mode, pilih opsi Explicit.

  6. Untuk Region, pilih region tempat Anda ingin membuat proxy web, seperti us-central1.

  7. Untuk Network, pilih jaringan tempat Anda ingin membuat proxy web.

  8. Untuk Subnetwork, pilih VPC subnet yang sebelumnya Anda buat sebagai bagian dari langkah penyiapan awal.

  9. Opsional: Di kolom Alamat IP proxy web, masukkan alamat IP Secure Web Proxy.

    Anda dapat memasukkan alamat IP dari rentang alamat IP Secure Web Proxy yang berada di subnetwork yang Anda buat pada langkah sebelumnya. Jika Anda tidak memasukkan alamat IP, instance Secure Web Proxy Anda akan otomatis memilih alamat IP dari subnetwork yang dipilih.

  10. Untuk Port, masukkan nomor port, seperti 80 atau 443, yang ingin Anda gunakan untuk memproses proxy web.

  1. Untuk Sertifikat, pilih sertifikat yang ingin Anda gunakan untuk membuat proxy web.

  2. Untuk Associated policy, pilih kebijakan yang Anda buat untuk mengaitkan proxy web.

  3. Klik Create.

Cloud Shell

  1. Gunakan editor teks pilihan Anda untuk membuat file gateway.yaml.

  2. Tambahkan kode berikut ke file gateway.yaml:

    name: projects/PROJECT_ID/locations/REGION/gateways/myswp
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: EXPLICIT_ROUTING_MODE

    Ganti kode berikut:

    • PROJECT_ID: ID project Anda
    • REGION: region tempat instance Secure Web Proxy dibuat
    • IP_ADDRESS: Alamat IP instance Secure Web Proxy Anda
    • NETWORK: jaringan instance Secure Web Proxy Anda
    • SUBNETWORK: subnetwork instance Secure Web Proxy Anda. Anda harus menggunakan subnet VPC yang sebelumnya Anda buat sebagai bagian dari langkah penyiapan awal.

  3. Buat instance Secure Web Proxy berdasarkan file gateway.yaml.

    gcloud network-services gateways import myswp \
    --source=gateway.yaml \
    --location=REGION

    Instance Secure Web Proxy dapat memerlukan waktu beberapa menit untuk di-deploy.

Menguji konektivitas

Bagian ini berfokus pada pengujian konektivitas dari VM Linux untuk mengonfirmasi bahwa Secure Web Proxy yang baru di-deploy, kebijakannya, dan aturan terkaitnya berfungsi dengan benar.

  1. Hubungkan ke VM yang sebelumnya Anda siapkan.

    gcloud compute ssh swp-test-vm \
    --zone=ZONE

    Ganti ZONE dengan zona instance VM pengujian Anda.

  2. Uji instance Secure Web Proxy.

    curl -s -o /dev/null -w "%{http_code}\\n" -x IP_ADDRESS:443 https://www.wikipedia.org

    Ganti IP_ADDRESS dengan alamat IP instance Secure Web Proxy Anda.

    Perintah ini mencetak kode status HTTP yang ditampilkan dari www.wikipedia.org. Jika perintah berhasil, kode statusnya adalah 200. Namun, jika ada masalah dengan proxy, perintah akan menampilkan kode status 000 untuk menunjukkan error koneksi. Untuk melihat pesan error mendetail, tambahkan opsi -v ke perintah.

Kita belum mengonfigurasi pemeriksaan TLS dalam contoh yang disebutkan di halaman ini. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi Secure Web Proxy untuk pemeriksaan TLS, lalu menguji instance Secure Web Proxy, lihat Mengaktifkan pemeriksaan TLS.

Pembersihan

Agar akun Google Cloud Anda tidak dikenai biaya untuk resource yang digunakan pada halaman ini, ikuti langkah-langkah berikut.

Hapus instance swp1 Secure Web Proxy

Konsol

  1. Di konsol Google Cloud , buka halaman Web Proxies. Anda dapat melihat daftar semua proxy web atau hanya proxy web yang tersedia di jaringan tertentu.

    Buka Web Proxy

  2. Pilih proxy web yang ingin Anda hapus. Di sini, nama proxy web adalah swp1.

  3. Klik Delete, lalu klik Delete lagi untuk mengonfirmasi.

Cloud Shell 

gcloud network-services gateways delete swp1 \
    --location=REGION

Ganti REGION dengan region instance Secure Web Proxy Anda.

Hapus aturan allow-wikipedia-org

Konsol

  1. Di konsol Google Cloud , buka halaman Web Proxies. Anda dapat melihat daftar semua proxy web atau hanya proxy web yang tersedia di jaringan tertentu.

    Buka Web Proxy

  2. Klik kebijakan Anda. Di sini, nama kebijakannya adalah policy1.

  3. Pilih aturan yang ingin Anda hapus. Di sini, nama aturannya adalah allow-wikipedia-org.

  4. Klik Delete, lalu klik Delete lagi untuk mengonfirmasi.

Cloud Shell 

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Ganti REGION dengan region kebijakan Anda.

Menghapus kebijakan policy1 Secure Web Proxy

Konsol

  1. Di konsol Google Cloud , buka halaman Web Proxies. Anda dapat melihat daftar semua proxy web atau hanya proxy web yang tersedia di jaringan tertentu.

    Buka Web Proxy

  2. Pilih kebijakan yang ingin Anda hapus. Di sini, nama kebijakannya adalah policy1.

  3. Klik Delete, lalu klik Delete lagi untuk mengonfirmasi.

Cloud Shell 

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Ganti REGION dengan region kebijakan Anda.

Hapus instance VM Linux swp-test-vm

Konsol

  1. Di konsol Google Cloud , buka halaman VM instances.

    Buka instance VM

  2. Pilih instance yang ingin Anda hapus. Di sini, swp-test-vm adalah nama instance VM Linux.

  3. Klik Hapus.

Cloud Shell 

gcloud compute instances delete swp-test-vm

Langkah berikutnya