Déployer une instance Secure Web Proxy

Ce guide de démarrage rapide explique comment déployer et tester une instance de proxy Web sécurisé.

Les étapes décrivent le déploiement de Secure Web Proxy en mode de routage explicite, fonctionnant comme un proxy explicite. Les instances de proxy Web sécurisé en mode de routage explicite peuvent être publiées en tant que service Private Service Connect.

Vous pouvez également déployer le proxy Web sécurisé en mode de routage du prochain saut. Pour en savoir plus, consultez Déployer Secure Web Proxy comme prochain saut.

Avant de commencer

  1. Suivez les étapes de configuration initiale.

  2. Facultatif : Installez la Google Cloud CLI dans l'un des environnements de développement suivants si vous souhaitez exécuter les exemples de ligne de commande gcloud spécifiés dans ce guide :

    Cloud Shell

    Pour utiliser un terminal en ligne avec la gcloud CLI déjà configurée, activez Cloud Shell :

    En bas de la page, une session Cloud Shell démarre et affiche une invite de ligne de commande. L'initialisation de la session peut prendre quelques secondes.

    Si vous avez déjà installé la gcloud CLI, assurez-vous de disposer de la dernière version disponible en exécutant la commande gcloud components update.

    Shell local

    Pour utiliser un environnement de développement local, procédez comme suit :

    1. Installez la gcloud CLI.
    2. Initialisez gcloud CLI.

  3. Créez ou sélectionnez un projet Google Cloud .

    Si vous ne comptez pas conserver les ressources créées dans cette procédure, créez un projet au lieu de sélectionner un projet existant. Après avoir suivi ces étapes, vous pouvez supprimer le projet. Cela entraîne la suppression de toutes les ressources qui lui sont associées.

    Console

    Dans la console Google Cloud , sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud .

    Accéder au sélecteur de projet

    Cloud Shell

    • Créez un projet Google Cloud  :

      gcloud projects create PROJECT_ID

      Remplacez PROJECT_ID par l'ID du projet de votre choix.

    • Sélectionnez le projet Google Cloud que vous avez créé :

      gcloud config set project PROJECT_ID

  4. créer une instance de machine virtuelle (VM) Linux ;

    gcloud compute instances create swp-test-vm \
    --subnet=default \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11

    Remplacez ZONE par la zone de votre instance de VM de test.

    Compute Engine attribue le rôle Administrateur d'instance Compute (roles/compute.instanceAdmin) à l'utilisateur qui crée la VM et l'ajoute également au groupe sudo.

  5. Créez une règle de pare-feu.

    gcloud compute firewall-rules create default-allow-ssh \
    --direction=INGRESS \
    --priority=1000 \
    --network=default \
    --action=ALLOW \
    --rules=tcp:22 \
    --source-ranges=0.0.0.0/0

Créer une règle Secure Web Proxy

Console

  1. Dans la console Google Cloud , accédez à la page Règles SWP.

    Accéder aux règles SWP

  2. Cliquez sur Créer une règle.

  3. Saisissez le nom de la règle que vous souhaitez créer, par exemple policy1.

  4. Saisissez une description de la règle, par exemple My new swp policy.

  5. Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer la règle de proxy Web.

  6. Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Ajouter une règle. Pour en savoir plus, consultez la section Créer des règles de proxy Web sécurisé.

  7. Cliquez sur Créer.

Cloud Shell

  1. Créez le fichier policy.yaml.

      description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1

    Remplacez les éléments suivants :

    • PROJECT_ID : ID de votre projet
    • REGION : région de votre règle

  2. Créez la règle de proxy Web sécurisé.

    gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

Créer des règles Secure Web Proxy

Console

  1. Dans la console Google Cloud , accédez à la page Règles SWP.

    Accéder aux règles SWP

  2. Cliquez sur le nom de votre stratégie.

  3. Cliquez sur Ajouter une règle.

  4. Renseignez les champs de règle suivants :

    1. Nom
    2. Description
    3. Status
    4. Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée.
    5. Dans la section Action, indiquez si les connexions correspondant à la règle sont autorisées (Autoriser) ou refusées (Refuser).
    6. Dans la section Correspondance de session, spécifiez les critères de correspondance de la session. Pour en savoir plus sur la syntaxe de SessionMatcher, consultez la documentation de référence sur le langage de correspondance CEL.

    7. Dans la section Correspondance de l'application, spécifiez les critères de correspondance de la requête. Étant donné que nous n'avons pas activé la règle pour l'inspection TLS, la requête ne peut correspondre qu'au trafic HTTP.

      Pour en savoir plus sur la mise en correspondance du trafic TPC, consultez Configurer des règles de proxy TCP pour votre application.

    8. Cliquez sur Créer.

  5. Cliquez sur Ajouter une règle pour ajouter une règle.

Cloud Shell

  1. Créez le fichier rule.yaml comme indiqué ici. Pour en savoir plus sur la syntaxe de SessionMatcher, consultez la documentation de référence sur le langage de correspondance CEL.

    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'www.wikipedia.org'

  2. Créez la règle de stratégie de sécurité.

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
    --source=rule.yaml \
    --location=REGION \
    --gateway-security-policy=policy1

Configurer un proxy Web

Cette section explique comment déployer Secure Web Proxy en mode de routage explicite, en tant que proxy explicite.

Console

  1. Dans la console Google Cloud , accédez à la page Proxys Web.

    Accéder aux proxys Web

  2. Cliquez sur Créer un proxy Web sécurisé.

  3. Saisissez le nom du proxy Web que vous souhaitez créer, par exemple myswp.

  4. Saisissez une description du proxy Web, par exemple My new swp.

  5. Pour Mode de routage, sélectionnez l'option Explicite.

  6. Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer le proxy Web.

  7. Dans la liste Réseau, sélectionnez le réseau dans lequel vous souhaitez créer le proxy Web.

  8. Dans la liste Sous-réseau, sélectionnez le sous-réseau dans lequel vous souhaitez créer le proxy Web.

    Important : Vous devez utiliser le sous-réseau VPC que vous avez créé précédemment lors des étapes de configuration initiale.

  9. Facultatif : Saisissez l'adresse IP du proxy Web sécurisé. Vous pouvez saisir une adresse IP de la plage d'adresses IP du proxy Web sécurisé qui se trouve dans le sous-réseau que vous avez créé à l'étape précédente. Si vous ne saisissez pas l'adresse IP, votre instance Secure Web Proxy choisit automatiquement une adresse IP dans le sous-réseau sélectionné.

  10. Dans la liste Certificat, sélectionnez le certificat que vous souhaitez utiliser pour créer le proxy Web.

  11. Dans la liste Règle, sélectionnez la règle que vous avez créée pour associer le proxy Web.

  12. Cliquez sur Créer.

Cloud Shell

  1. Créez le fichier gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: EXPLICIT_ROUTING_MODE

    Remplacez les éléments suivants :

    • PROJECT_ID : ID de votre projet
    • REGION : région de votre instance Secure Web Proxy
    • IP_ADDRESS : adresse IP de votre instance Secure Web Proxy
    • NETWORK : réseau de votre instance Secure Web Proxy
    • SUBNETWORK : sous-réseau de votre instance Secure Web Proxy. Vous devez utiliser le sous-réseau VPC que vous avez créé précédemment lors des étapes de configuration initiale.

  2. Créez une instance Secure Web Proxy basée sur gateway.yaml.

    gcloud network-services gateways import swp1 \
    --source=gateway.yaml \
    --location=REGION

    Le déploiement d'une instance de proxy Web sécurisé peut prendre plusieurs minutes.

Tester la connectivité

  1. Connectez-vous à la VM que vous avez provisionnée précédemment.

    gcloud compute ssh swp-test-vm \
    --zone=ZONE

    Remplacez ZONE par la zone de votre instance de VM de test.

  2. Testez l'instance Secure Web Proxy.

    curl -s -o /dev/null -w "%{http_code}\\n" -x IP_ADDRESS:443 https://www.wikipedia.org

    Remplacez IP_ADDRESS par l'adresse IP de votre instance Secure Web Proxy. Cette commande affiche le code d'état HTTP renvoyé par www.wikipedia.org. Si la commande aboutit, le code d'état est 200. Toutefois, en cas de problème avec le proxy, la commande renvoie un code d'état 000 pour indiquer une erreur de connexion. Pour afficher les messages d'erreur détaillés, ajoutez l'option -v à la commande.

Nous n'avons pas configuré l'inspection TLS dans l'exemple mentionné sur cette page. Pour savoir comment configurer le proxy Web sécurisé pour l'inspection TLS, puis tester votre instance de proxy Web sécurisé, consultez Activer l'inspection TLS.

Effectuer un nettoyage

Pour éviter que les ressources utilisées dans cette démonstration soient facturées sur votre compte Google Cloud , procédez comme suit :

Supprimez l'instance swp1 Secure Web Proxy.

Console

  1. Dans la console Google Cloud , accédez à la page Proxys Web. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux qui sont disponibles dans un réseau donné.

    Accéder aux proxys Web

  2. Sélectionnez le proxy Web que vous souhaitez supprimer.

  3. Cliquez sur Supprimer.

  4. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

Cloud Shell 

gcloud network-services gateways delete swp1 \
    --location=REGION

Remplacez REGION par la région de votre instance Secure Web Proxy.

Supprimer la règle allow-wikipedia-org

Console

  1. Dans la console Google Cloud , accédez à la page Proxys Web. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux qui sont disponibles dans un réseau donné.

    Accéder aux proxys Web

  2. Cliquez sur la stratégie.

  3. Sélectionnez la règle que vous souhaitez supprimer.

  4. Cliquez sur Supprimer.

  5. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

Cloud Shell 

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Remplacez REGION par la région de votre règle.

Supprimer la règle Secure Web Proxy policy1

Console

  1. Dans la console Google Cloud , accédez à la page Proxys Web. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux qui sont disponibles dans un réseau donné.

    Accéder aux proxys Web

  2. Sélectionnez la règle que vous souhaitez supprimer.

  3. Cliquez sur Supprimer.

  4. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

Cloud Shell 

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Remplacez REGION par la région de votre règle.

Supprimer l'instance de VM Linux swp-test-vm

Console

  1. Dans la console Google Cloud , accédez à la page Instances de VM.

    Accéder à la page Instances de VM

  2. Sélectionnez les instances à supprimer.

  3. Cliquez sur Supprimer.

Cloud Shell 

gcloud compute instances delete swp-test-vm

Étapes suivantes