Secure Web Proxy è un servizio regionale. Per impostazione predefinita, i client devono trovarsi nella stessa regione Google Cloud dell'istanza di Secure Web Proxy.
Quando abiliti l'accesso globale per un'istanza Secure Web Proxy, i client possono connettersi da qualsiasi regione, non solo da quella in cui viene eseguito il deployment del proxy. Questa funzionalità supporta i seguenti casi d'uso:
Traffico in uscita da una regione specifica: per soddisfare i requisiti di ottimizzazione dei costi o di conformità normativa, puoi imporre che tutto il traffico internet in uscita provenga da una regione specifica.
Failover tra regioni: se il proxy principale riscontra problemi, puoi reindirizzare manualmente il traffico a un'istanza Secure Web Proxy alternativa in un'altra regione.
Vantaggi
Maggiore affidabilità e disponibilità: se si verifica un'interruzione a livello regionale, puoi reindirizzare il traffico a istanze Secure Web Proxy alternative in altre regioni disponibili. Per reindirizzare il traffico, puoi modificare le route per la modalità hop successivo o cambiare i record DNS per la modalità proxy esplicito.
Gestione semplificata della rete: gestisci il traffico in uscita da una posizione centralizzata per semplificare l'amministrazione della rete per la tua organizzazione.
Abilita accesso globale
Per abilitare l'accesso globale, devi impostare il campo allow_global_access su true
nel file gateway.yaml quando crei un'istanza di Secure Web Proxy.
Puoi abilitare l'accesso globale per Secure Web Proxy nelle seguenti modalità di deployment:
Esempio di configurazione
L'esempio seguente mostra come attivare l'accesso globale quando crei un'istanza di Secure Web Proxy in modalità di deployment proxy esplicito:
Utilizza un editor di testo per creare un file
gateway.yaml.Aggiungi il seguente codice al file
gateway.yamlcon il campoallow_global_accessimpostato sutrue.name: projects/PROJECT_ID/locations/REGION /gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/ NETWORK subnetwork: projects/PROJECT_ID/regions/REGION /subnetworks/SUBNETWORK routingMode: EXPLICIT_ROUTING_MODE allow_global_access: trueSostituisci quanto segue:
PROJECT_ID: l'ID del progettoREGION: la regione dell'istanza Secure Web ProxyIP_ADDRESS: l'indirizzo IP dell'istanza Secure Web ProxyNETWORK: la rete della tua istanza Secure Web ProxySUBNETWORK: la subnet dell'istanza Secure Web Proxy. Devi utilizzare la subnet VPC che hai creato nell'ambito dei passaggi di configurazione iniziale.
Per creare l'istanza Secure Web Proxy, utilizza il comando
gcloud network-services gateways import.gcloud network-services gateways import swp1 \ --source=gateway.yaml
Attributi di identità nelle regole dei criteri
Gli attributi di identità, come service accounts e tags, disponibili per l'utilizzo nelle regole dei criteri Secure Web Proxy rimangono funzionali indipendentemente dall'attivazione della funzionalità di accesso globale.
Le applicazioni client e i workload di varie regioni Google Cloud possono fornire le proprie identità, che l'istanza Secure Web Proxy può quindi utilizzare per applicare le regole dei criteri. Per maggiori informazioni, vedi Identità supportate per gli attributi di origine.
Logging e monitoraggio
I log di Secure Web Proxy includono informazioni sull'origine del traffico in uscita. Quando abiliti l'accesso globale per l'istanza Secure Web Proxy, i log mostrano la regione originale di un'applicazione client, anche se diversa dalla regione del proxy. Per saperne di più, consulta Log e metriche.
Passaggi successivi
- Panoramica dell'ispezione TLS
- Crea una policy di autorizzazione
- Crea un criterio di sicurezza del gateway
- Crea una regola di sicurezza del gateway