Secure Web Proxy ist ein regionaler Dienst. Standardmäßig müssen sich Ihre Clients in derselben Google Cloud Region wie die Secure Web Proxy-Instanz befinden.
Wenn Sie den globalen Zugriff für eine Secure Web Proxy-Instanz aktivieren, können Clients eine Verbindung von jeder Region aus herstellen, nicht nur von der Region, in der der Proxy bereitgestellt wird. Diese Funktion unterstützt die folgenden Anwendungsfälle:
Ausgehender Traffic aus einer bestimmten Region: Um die Anforderungen an die Kostenoptimierung oder die Einhaltung regulatorischer Anforderungen zu erfüllen, können Sie erzwingen, dass der gesamte ausgehende Internettraffic aus einer bestimmten Region stammt.
Regionsübergreifendes Failover: Wenn beim primären Proxy Probleme auftreten, können Sie den Traffic manuell zu einer alternativen Secure Web Proxy-Instanz in einer anderen Region umleiten.
Vorteile
Höhere Zuverlässigkeit und Verfügbarkeit: Bei einem regionalen Ausfall können Sie den Traffic zu alternativen Secure Web Proxy-Instanzen in anderen verfügbaren Regionen umleiten. Um den Traffic umzuleiten, können Sie entweder die Routen für den Modus „Nächster Hop“ anpassen oder die DNS-Einträge für den expliziten Proxy-Modus ändern.
Vereinfachte Netzwerkverwaltung: Sie können den ausgehenden Traffic von einem zentralen Standort aus verwalten, um die Netzwerkadministration für Ihr Unternehmen zu vereinfachen.
Globalen Zugriff aktivieren
Wenn Sie den globalen Zugriff aktivieren möchten, müssen Sie beim Erstellen einer Secure Web Proxy-Instanz das Feld allow_global_access in der Datei gateway.yaml auf true setzen.
Sie können den globalen Zugriff für Secure Web Proxy in den folgenden Bereitstellungsmodi aktivieren:
Konfigurationsbeispiel
Im folgenden Beispiel wird gezeigt, wie Sie den globalen Zugriff aktivieren, wenn Sie eine Secure Web Proxy-Instanz im Bereitstellungsmodus „Expliziter Proxy“ erstellen:
Erstellen Sie mit einem Texteditor eine Datei
gateway.yaml.Fügen Sie der Datei
gateway.yamlden folgenden Code hinzu und setzen Sie das Feldallow_global_accessauftrue.name: projects/PROJECT_ID/locations/REGION /gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/ NETWORK subnetwork: projects/PROJECT_ID/regions/REGION /subnetworks/SUBNETWORK routingMode: EXPLICIT_ROUTING_MODE allow_global_access: trueErsetzen Sie Folgendes:
PROJECT_ID: die ID Ihres ProjektsREGION: die Region Ihrer Secure Web Proxy-InstanzIP_ADDRESS: die IP-Adresse Ihrer Secure Web Proxy-InstanzNETWORK: das Netzwerk Ihrer Secure Web Proxy-InstanzSUBNETWORK: das Subnetzwerk Ihrer Secure Web Proxy-Instanz. Sie müssen das VPC-Subnetz verwenden, das Sie im Rahmen der ersten Einrichtungsschritte erstellt haben.
Verwenden Sie den
gcloud network-services gateways importBefehl, um die Secure Web Proxy-Instanz zu erstellen.gcloud network-services gateways import swp1 \ --source=gateway.yaml
Identitätsattribute in Richtlinienregeln
Identitätsattribute wie Dienst konten und Tags, die in Secure Web Proxy-Richtlinienregeln verwendet werden können, funktionieren weiterhin, unabhängig davon, ob Sie die Funktion für den globalen Zugriff aktivieren.
Clientanwendungen und Arbeitslasten aus verschiedenen Google Cloud Regionen können ihre Identitäten angeben, die von Ihrer Secure Web Proxy-Instanz verwendet werden können, um Ihre Richtlinienregeln zu erzwingen. Weitere Informationen finden Sie unter Unterstützte Identitäten für Quellattribute.
Logging und Monitoring
Secure Web Proxy-Logs enthalten Informationen zur Quelle des ausgehenden Traffics. Wenn Sie den globalen Zugriff für Ihre Secure Web Proxy-Instanz aktivieren, wird in den Logs die ursprüngliche Region einer Clientanwendung angezeigt, auch wenn sie sich von der Region Ihres Proxys unterscheidet. Weitere Informationen finden Sie unter Logs und Messwerte.
Nächste Schritte
- TLS-Prüfung
- Autorisierungsrichtlinie erstellen
- Gateway-Sicherheitsrichtlinie erstellen
- Gateway-Sicherheitsregel erstellen