Secure Web Proxy 是區域服務,根據預設,用戶端必須與 Secure Web Proxy 執行個體位於相同 Google Cloud 區域。
為 Secure Web Proxy 執行個體啟用全域存取權後,用戶端就能從任何區域連線,而不僅限於 Proxy 部署所在的區域。這項功能支援下列用途:
特定區域的輸出流量:為符合成本最佳化或法規遵循要求,您可以強制所有輸出網際網路流量從特定區域輸出。
跨區域容錯移轉:如果主要 Proxy 發生任何問題,您可以手動將流量重新導向至其他區域的替代 Secure Web Proxy 執行個體。
優點
提高穩定性和可用性:如果發生區域性服務中斷,您可以將流量重新導向至其他可用區域的替代 Secure Web Proxy 執行個體。如要重新導向流量,您可以調整下一個躍點模式的路徑,或是變更明確 Proxy 模式的 DNS 記錄。
簡化網路管理作業:集中管理外送流量,簡化貴機構的網路管理作業。
啟用全域存取權
如要啟用全域存取權,您必須在建立 Secure Web Proxy 執行個體時,將 gateway.yaml 檔案中的 allow_global_access 欄位設為 true。
您可以在下列部署模式中啟用 Secure Web Proxy 的全域存取權:
設定範例
以下範例說明在明確 Proxy 部署模式中建立 Secure Web Proxy 執行個體時,如何啟用全域存取權:
使用文字編輯器建立
gateway.yaml檔案。將下列程式碼新增至
gateway.yaml檔案,並將allow_global_access欄位設為true。name: projects/PROJECT_ID/locations/REGION /gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/ NETWORK subnetwork: projects/PROJECT_ID/regions/REGION /subnetworks/SUBNETWORK routingMode: EXPLICIT_ROUTING_MODE allow_global_access: true更改下列內容:
如要建立 Secure Web Proxy 執行個體,請使用
gcloud network-services gateways import指令。gcloud network-services gateways import swp1 \ --source=gateway.yaml
政策規則中的身分屬性
無論是否啟用全域存取功能,您都可以在 Secure Web Proxy 政策規則中使用身分屬性,例如服務帳戶和標記。
來自不同 Google Cloud 區域的用戶端應用程式和工作負載可以提供身分,Secure Web Proxy 執行個體隨後會使用這些身分強制執行政策規則。詳情請參閱「支援的來源屬性身分」。
記錄和監控
Secure Web Proxy 記錄包含輸出流量來源的相關資訊。為 Secure Web Proxy 執行個體啟用全域存取權後,即使用戶端應用程式的原始區域與 Proxy 區域不同,記錄檔仍會顯示原始區域。詳情請參閱「記錄和指標」。