Secure Web Proxy 是一项区域级服务。默认情况下,客户端必须与 Secure Web Proxy 实例位于同一 Google Cloud 区域。
为 Secure Web Proxy 实例启用全球访问权限后,客户端可以从任何区域进行连接,而不仅仅是代理部署到的区域。此功能支持以下使用场景:
来自特定区域的出站流量:为了满足成本优化或监管合规要求,您可以强制所有出站互联网流量从特定区域退出。
跨区域故障切换:如果主代理出现任何问题,您可以手动将流量重定向到其他区域中的备用 Secure Web Proxy 实例。
优势
提高可靠性和可用性:如果发生区域性服务中断,您可以将流量重新路由到其他可用区域中的替代安全 Web 代理实例。如需重新路由流量,您可以调整下一跃点模式的路由,也可以更改显式代理模式的 DNS 记录。
简化网络管理:在一个位置集中管理出站流量,从而简化组织的网络管理。
启用全球访问权限
如需启用全局访问权限,您必须在创建 Secure Web Proxy 实例时,将 gateway.yaml 文件中的 allow_global_access 字段设置为 true。
您可以在以下部署模式下为 Secure Web Proxy 启用全局访问权限:
配置示例
以下示例展示了如何在显式代理部署模式下创建 Secure Web Proxy 实例时启用全局访问权限:
使用文本编辑器创建
gateway.yaml文件。将以下代码添加到
gateway.yaml文件中,并将allow_global_access字段设置为true。name: projects/PROJECT_ID/locations/REGION /gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/ NETWORK subnetwork: projects/PROJECT_ID/regions/REGION /subnetworks/SUBNETWORK routingMode: EXPLICIT_ROUTING_MODE allow_global_access: true替换以下内容:
如需创建 Secure Web Proxy 实例,请使用
gcloud network-services gateways import命令。gcloud network-services gateways import swp1 \ --source=gateway.yaml
政策规则中的身份属性
可用于 Secure Web Proxy 政策规则中的身份属性(例如服务账号和标记)无论您是否启用全局访问权限功能,都将保持正常运行。
来自各个 Google Cloud 区域的客户端应用和工作负载可以提供其身份,然后您的 Secure Web Proxy 实例可以使用这些身份来强制执行政策规则。如需了解详情,请参阅来源属性支持的身份。
日志记录和监控
Secure Web Proxy 日志包含有关出站流量来源的信息。为 Secure Web Proxy 实例启用全球访问权限后,即使客户端应用的原始区域与代理区域不同,日志也会显示客户端应用的原始区域。如需了解详情,请参阅日志和指标。