Configurar o acesso global para o Secure Web Proxy

O Secure Web Proxy é um serviço regional. Por padrão, seus clientes precisam estar na mesma Google Cloud região que a instância do Secure Web Proxy.

Quando você ativa o acesso global para uma instância do Secure Web Proxy, os clientes podem se conectar de qualquer região, não apenas da região em que o proxy está implantado. Esse recurso é compatível com os seguintes casos de uso:

• Tráfego de saída de uma região específica: para atender aos requisitos de otimização de custos ou conformidade regulatória, é possível forçar todo o tráfego de saída da Internet a sair de uma região específica.

• Failover entre regiões: se o proxy principal tiver problemas, você poderá redirecionar manualmente o tráfego para uma instância alternativa do Secure Web Proxy em uma região diferente.

Vantagens

• Maior confiabilidade e disponibilidade: se ocorrer uma interrupção regional, você poderá redirecionar o tráfego para instâncias alternativas do proxy seguro da Web em outras regiões disponíveis. Para redirecionar o tráfego, ajuste as rotas para o modo de próximo salto ou mude os registros DNS para o modo de proxy explícito.

• Gerenciamento de rede simplificado: gerencie o tráfego de saída de um local centralizado para simplificar a administração de rede da sua organização.

Ativar o acesso global

Para ativar o acesso global, defina o campo allow_global_access como true no arquivo gateway.yaml ao criar uma instância do Secure Web Proxy.

É possível ativar o acesso global para o Secure Web Proxy nos seguintes modos de implantação:

• Proxy explícito
• Próximo salto
• Como um serviço do Private Service Connect (PSC)

Exemplo de configuração

O exemplo a seguir mostra como ativar o acesso global ao criar uma instância do Secure Web Proxy no modo de implantação de proxy explícito:

1. Use um editor de texto para criar um arquivo gateway.yaml.

2. Adicione o seguinte código ao arquivo gateway.yaml com o campo allow_global_access definido como true.

   name: projects/PROJECT_ID/locations/REGION
       /gateways/swp1
   type: SECURE_WEB_GATEWAY
   addresses: ["IP_ADDRESS"]
   ports: [443]
   gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
   network: projects/PROJECT_ID/global/networks/
       NETWORK
   subnetwork: projects/PROJECT_ID/regions/REGION
       /subnetworks/SUBNETWORK
   routingMode: EXPLICIT_ROUTING_MODE
   allow_global_access: true
   

   Substitua:

   • PROJECT_ID: ID do projeto

   • REGION: região da sua instância do Secure Web Proxy

   • IP_ADDRESS: endereço IP da sua instância do Secure Web Proxy

   • NETWORK: rede da sua instância do Secure Web Proxy

   • SUBNETWORK: sub-rede da instância do Secure Web Proxy. Use a sub-rede da VPC que você criou como parte das etapas de configuração inicial.

3. Para criar a instância do Secure Web Proxy, use o comando gcloud network-services gateways import.

   gcloud network-services gateways import swp1 \
       --source=gateway.yaml
   

Atributos de identidade em regras de política

Os atributos de identidade, como contas de serviço e tags, que podem ser usados nas regras de política do Secure Web Proxy, continuam funcionando, independente de você ativar ou não o recurso de acesso global.

Aplicativos cliente e cargas de trabalho de várias regiões do Google Cloud podem fornecer as identidades, que sua instância do Proxy seguro da Web pode usar para aplicar as regras de política. Para mais informações, consulte Identidades compatíveis com atributos de origem.

Geração de registros e monitoramento

Os registros do Secure Web Proxy incluem informações sobre a origem do tráfego de saída. Quando você ativa o acesso global para sua instância do Secure Web Proxy, os registros mostram a região original de um aplicativo cliente, mesmo que ela seja diferente da região do proxy. Para mais informações, consulte Registros e métricas.

A seguir

• Visão geral da inspeção TLS
• Criar uma política de autorização
• Criar uma política de segurança de gateway
• Criar uma regra de segurança de gateway