Secure Web Proxy インスタンスを作成してデプロイする

このクイックスタートでは、Secure Web Proxy インスタンスをデプロイしてテストする方法について説明します。この手順では、Secure Web Proxy を明示的なルーティング モードでデプロイし、明示的なプロキシとして機能させます。

明示的なルーティング モードの Secure Web Proxy インスタンスは、 Private Service Connect サービスとしてデプロイできます。 または、ネクストホップ ルーティング モードで Secure Web Proxy を デプロイすることもできます。

明示的なルーティング モードで Secure Web Proxy をデプロイする手順は次のとおりです。

  1. Secure Web Proxy ポリシーを作成します。
  2. Secure Web Proxy ルールを作成して、ポリシーに追加します。
  3. 明示的なルーティング モードで Secure Web Proxy インスタンスを設定します。
  4. Linux 仮想マシン(VM)インスタンスから接続をテストして、プロキシとそのポリシーが正しく機能していることを確認します。
明示的なプロキシ ルーティング モードで Secure Web Proxy をデプロイします。
明示的なプロキシ ルーティング モードで Secure Web Proxy をデプロイする(クリックして拡大)。

始める前に

  1. 初期設定の手順を完了します

  2. 省略可: このドキュメントで指定されている gcloud コマンドラインの例を実行するには、次のいずれかの開発環境に Google Cloud CLI をインストールします。

    Cloud Shell

    gcloud CLI がすでに設定されているオンライン ターミナルを使用するには、Cloud Shell をアクティブにします。

    このページの末尾で Cloud Shell セッションが開始し、コマンドライン プロンプトが表示されます。セッションが初期化されるまで数秒かかることがあります。

    以前に gcloud CLI をインストールした場合は、 利用可能な最新バージョンがあることを gcloud components update コマンドを実行して確認します。

    ローカルシェル

    ローカル開発環境を使用する手順は次のとおりです。

    1. Google Cloud CLI をインストールする
    2. gcloud CLI を初期化する

  3. 既存の Google Cloud プロジェクトを作成または選択します。

    この手順で作成するリソースを保持しない場合は、既存のプロジェクトを選択するのではなく、プロジェクトを作成することをおすすめします。このクイックスタートの手順を完了したら、プロジェクトを削除して、プロジェクトに関連付けられているすべてのリソースを削除できます。

    コンソール

    コンソールのプロジェクト セレクタ ページで、プロジェクトを作成するか、既存のプロジェクトを選択します。 Google Cloud Google Cloud

    プロジェクト セレクタに移動

    Cloud Shell

    1. プロジェクトを作成します Google Cloud 。

      gcloud projects create PROJECT_ID

      PROJECT_ID は、選択したプロジェクト ID に置き換えます。

    2. 作成した Google Cloud プロジェクトを選択します。

      gcloud config set project PROJECT_ID

  4. Linux VM インスタンスを作成します。

    gcloud compute instances create swp-test-vm \
    --subnet=default \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11

    ZONE は、テスト VM インスタンスのゾーンに置き換えます。

    Compute Engine によって、VM インスタンスを作成するユーザーに Compute インスタンス管理者ロールroles/compute.instanceAdmin)が付与されます。 Compute Engine によって、そのユーザーは sudo グループに追加されます。

  5. ファイアウォール ルールを作成します。

    gcloud compute firewall-rules create default-allow-ssh \
    --direction=INGRESS \
    --priority=1000 \
    --network=default \
    --action=ALLOW \
    --rules=tcp:22 \
    --source-ranges=0.0.0.0/0

必要なロール

このチュートリアルのタスクを完了するための次のロールがあることを確認してください。

詳しくは以下をご覧ください。

Secure Web Proxy ポリシーを作成する

このセクションでは、Secure Web Proxy ポリシーを作成する手順について説明します。このポリシーは、Secure Web Proxy を通過するトラフィック フローを管理するすべてのセキュリティ ルールのコンテナとして機能します。ポリシーを作成したら、ルールを作成してポリシーに追加できます。

コンソール

  1. コンソールで、[SWP ポリシー] ページに移動します。 Google Cloud

    [SWP ポリシー] に移動

  2. [ポリシーを作成] をクリックします。

  3. [**名前**] フィールドに、ポリシーの名前( `myswppolicy` など)を入力します。

  4. [説明] フィールドに、ポリシーの説明( My new swp policy など)を入力します。

  5. [**リージョン**] で、ポリシーを作成する リージョン(us-central1 など)を選択します。

  6. ポリシーのルールを作成する場合は、[ルールを追加] をクリックします。 詳細については、Secure Web Proxy ルールを作成する をご覧ください。

  7. [作成] をクリックします。

Cloud Shell

  1. 任意のテキスト エディタを使用して、policy.yaml ファイルを作成します。

  2. policy.yaml ファイルに以下を追加します。

      description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/myswppolicy

    次のように置き換えます。

    • PROJECT_ID: プロジェクトの ID
    • REGION: ポリシーが作成されるリージョン(us-central1 など)

  3. Secure Web Proxy ポリシーを作成します。

    gcloud network-security gateway-security-policies import myswppolicy \
    --source=policy.yaml \
    --location=REGION

Secure Web Proxy ルールを作成する

このセクションでは、Secure Web Proxy ルールを作成する手順について説明します。ルールは、ウェブ トラフィックの実際のアクセス制御を定義するのに役立ちます。

以前に作成したポリシー内で、allow-wikipedia-org などのルールを定義できます。これらのルールは、ウェブ セッションの一致条件(www.wikipedia.org などの特定のホストとの一致など)を指定し、ウェブ トラフィックを許可または拒否します。

コンソール

  1. コンソールで、[SWP ポリシー] ページに移動します。 Google Cloud

    [SWP ポリシー] に移動

  2. ポリシーの名前(myswppolicy など)をクリックします。

  3. [add_box**ルールを追加**] をクリックします。

  4. ルールごとに、次の操作を行います。

    1. [**優先度**] に、ルールの評価順序を数値で入力します。ルールは優先度の高い順に評価されます。0 が最も高い優先度です。

    2. [名前] フィールドに、ルールの名前(allow-wikipedia-org など)を入力します。

    3. [説明] フィールドに、ルールの説明(Allow wikipedia.org など)を入力します。

    4. [アクション] で、次のいずれかのオプションを選択します。

      • 許可: ルールに一致する接続リクエストを許可します。
      • 拒否: ルールに一致する接続リクエストを拒否します。

    5. [ステータス] フィールドで、ルールの適用について次のいずれかのオプションを選択します。

      • 有効: Secure Web Proxy インスタンスにルールを適用します。
      • 無効: Secure Web Proxy インスタンスにルールを適用しません。

    6. [セッションの一致] セクションで、セッションの一致条件(host() == 'www.wikipedia.org' など)を指定します。

      SessionMatcher の構文の詳細については、CEL マッチャーの言語リファレンスをご覧ください。

    7. [アプリケーションの一致] セクションで、リクエストの一致条件を指定します。TLS インスペクションのルールを有効にしていないため、リクエストは HTTP トラフィックにのみ一致します。

      TCP トラフィックの一致の詳細については、 TCP プロキシ ルールを構成するをご覧ください。

    8. [作成] をクリックします。

  5. 別のルールを追加するには、[ルールを追加] をクリックします。

Cloud Shell

  1. 任意のテキスト エディタを使用して、rule.yaml ファイルを作成します。

  2. rule.yaml ファイルに以下を追加します。SessionMatcher の構文の詳細については、CEL マッチャーの言語リファレンスをご覧ください。

    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'www.wikipedia.org'

    次のように置き換えます。

    • PROJECT_ID: プロジェクトの ID
    • REGION: ポリシーのリージョン
    • RULE_NAME: ルールの名前(allow-wikipedia-org など)。

  3. セキュリティ ポリシー ルールを作成します。

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
    --source=rule.yaml \
    --location=REGION \
    --gateway-security-policy=policy1

ウェブプロキシを設定

このセクションでは、Secure Web Proxy を明示的なルーティング モードでデプロイし、明示的なプロキシとして機能させる方法について説明します。 また、以前に作成したポリシーとルールを Secure Web Proxy インスタンスに関連付けて、通過するすべてのトラフィックが定義されたアクセス制御の対象となるようにする方法についても説明します。

コンソール

  1. コンソールで、[ウェブプロキシ] ページに移動します。 Google Cloud

    [ウェブプロキシ] に移動

  2. [add_box**セキュア ウェブプロキシを作成**] をクリックします。

  3. [名前] フィールドに、ウェブプロキシの名前(myswp など)を入力します。

  4. [説明] フィールドに、ウェブプロキシの説明(My new swp など)を入力します。

  5. [**ルーティング モード**] で、[**明示的**] オプションを選択します。

  6. [**リージョン**] で、ウェブプロキシを作成するリージョン(us-central1 など)を選択します。

  7. [**ネットワーク**] で、 ウェブプロキシを作成するネットワークを選択します。

  8. [**サブネットワーク**]で、初期設定の手順で作成した VPC サブネットを選択します。

  9. 省略可: [ウェブプロキシの IP アドレス] フィールドに、Secure Web Proxy の IP アドレスを入力します。

    前の手順で作成したサブネットワークに存在する Secure Web Proxy IP アドレスの範囲から IP アドレスを入力できます。 IP アドレスを入力しない場合、Secure Web Proxy インスタンスは選択したサブネットワークから IP アドレスを自動的に選択します。

  10. [**ポート**] に、ウェブプロキシがリッスンするポート番号(80443 など)を入力します。

を作成した後は、選択したポートを変更できません。

  1. [証明書] で、ウェブプロキシの作成に使用する証明書を選択します。

  2. [関連付けられたポリシー] で、ウェブプロキシに関連付けるために作成したポリシーを選択します。

  3. [作成] をクリックします。

Cloud Shell

  1. 任意のテキスト エディタを使用して、gateway.yaml ファイルを作成します。

  2. gateway.yaml ファイルに以下を追加します。

    name: projects/PROJECT_ID/locations/REGION/gateways/myswp
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: EXPLICIT_ROUTING_MODE

    次のように置き換えます。

    • PROJECT_ID: プロジェクトの ID
    • REGION: Secure Web Proxy インスタンスが作成されるリージョン
    • IP_ADDRESS: Secure Web Proxy インスタンスの IP アドレス
    • NETWORK: Secure Web Proxy インスタンスのネットワーク
    • SUBNETWORK: Secure Web Proxy インスタンスのサブネットワーク。初期設定の手順で作成した VPC サブネット を使用する必要があります。

  3. gateway.yaml ファイルに基づいて Secure Web Proxy インスタンスを作成します。

    gcloud network-services gateways import myswp \
    --source=gateway.yaml \
    --location=REGION

    Secure Web Proxy インスタンスのデプロイには数分かかる場合があります。

接続をテストする

このセクションでは、Linux VM からの接続をテストして、新しくデプロイされた Secure Web Proxy、そのポリシー、関連するルールが正しく機能していることを確認します。

  1. 以前にプロビジョニングした VM に接続します。

    gcloud compute ssh swp-test-vm \
    --zone=ZONE

    ZONE は、テスト VM インスタンスのゾーンに置き換えます。

  2. Secure Web Proxy インスタンスをテストします。

    curl -s -o /dev/null -w "%{http_code}\\n" -x IP_ADDRESS:443 https://www.wikipedia.org

    IP_ADDRESS は、Secure Web Proxy インスタンスの IP アドレスに置き換えます。

    このコマンドは、www.wikipedia.org から返された HTTP ステータス コードを出力します。コマンドが成功すると、ステータス コードは 200 になります。ただし、プロキシに問題がある場合、コマンドは接続エラーを示す 000 ステータス コードを返します。詳細なエラー メッセージを表示するには、コマンドに -v オプションを追加します。

このページで説明した例では、TLS インスペクションを構成していません。TLS インスペクション用に Secure Web Proxy を構成し、Secure Web Proxy インスタンスをテストする方法については、 TLS インスペクションを有効にするをご覧ください。

クリーンアップ

このページで使用したリソースについて、 Google Cloud アカウントに課金されないようにするには、 次の手順を実施します。

swp1 Secure Web Proxy インスタンスを削除する

コンソール

  1. コンソールで、[ウェブプロキシ] ページに移動します。 Google Cloud すべてのウェブプロキシのリスト、または特定のネットワークで使用可能なウェブプロキシのみを表示できます。

    [ウェブプロキシ] に移動

  2. 削除するウェブプロキシを選択します。ここでは、ウェブプロキシの名前は swp1 です。

  3. [削除] をクリックし、確認のためもう一度 [削除] をクリックします。

Cloud Shell 

gcloud network-services gateways delete swp1 \
    --location=REGION

REGION は、Secure Web Proxy インスタンスのリージョンに置き換えます。

allow-wikipedia-org ルールを削除する

コンソール

  1. コンソールで、[ウェブプロキシ] ページに移動します。 Google Cloud すべてのウェブプロキシのリスト、または特定のネットワークで使用可能なウェブプロキシのみを表示できます。

    [ウェブプロキシ] に移動

  2. ポリシーをクリックします。ここでは、ポリシーの名前は policy1 です。

  3. 削除するルールを選択します。ここでは、ルールの名前は allow-wikipedia-org です。

  4. [削除] をクリックし、確認のためもう一度 [削除] をクリックします。

Cloud Shell 

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

REGION は、ポリシーのリージョンに置き換えます。

policy1 Secure Web Proxy ポリシーを削除する

コンソール

  1. コンソールで、[ウェブプロキシ] ページに移動します。 Google Cloud すべてのウェブプロキシのリスト、または特定のネットワークで使用可能なウェブプロキシのみを表示できます。

    [ウェブプロキシ] に移動

  2. 削除するポリシーを選択します。ここでは、ポリシーの名前は policy1 です。

  3. [削除] をクリックし、確認のためもう一度 [削除] をクリックします。

Cloud Shell 

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

REGION は、ポリシーのリージョンに置き換えます。

swp-test-vm Linux VM インスタンスを削除する

コンソール

  1. Google Cloud コンソールで、[VM インスタンス] ページに移動します。

    [VM インスタンス] に移動

  2. 削除するインスタンスを選択します。ここでは、swp-test-vm は Linux VM インスタンスの名前です。

  3. [削除] をクリックします。

Cloud Shell

gcloud compute instances delete swp-test-vm

次のステップ