Secure Web Proxy es un servicio regional. De forma predeterminada, tus clientes deben estar en la misma Google Cloud región que la instancia de Secure Web Proxy.
Cuando habilitas el acceso global para una instancia de Secure Web Proxy, los clientes pueden conectarse desde cualquier región, no solo desde la región en la que se implementa el proxy. Esta función admite los siguientes casos de uso:
Tráfico saliente de una región específica: Para cumplir con los requisitos de optimización de costos o de cumplimiento de reglamentaciones, puedes hacer que todo el tráfico saliente de Internet salga de una región en particular.
Conmutación por error entre regiones: Si el proxy principal experimenta algún problema, puedes redirigir manualmente el tráfico a una instancia alternativa de Secure Web Proxy en otra región.
Beneficios
Mayor confiabilidad y disponibilidad: Si se produce una interrupción regional, puedes redirigir el tráfico a instancias alternativas de Secure Web Proxy en otras regiones disponibles. Para redireccionar el tráfico, puedes ajustar las rutas para el modo de próximo salto o cambiar los registros DNS para el modo de proxy explícito.
Administración de red simplificada: Administra tu tráfico saliente desde una ubicación centralizada para simplificar la administración de red de tu organización.
Habilitar el acceso global
Para habilitar el acceso global, debes establecer el campo allow_global_access en true en tu archivo gateway.yaml cuando crees una instancia de Secure Web Proxy.
Puedes habilitar el acceso global para Secure Web Proxy en los siguientes modos de implementación:
Ejemplo de configuración
En el siguiente ejemplo, se muestra cómo habilitar el acceso global cuando creas una instancia de Secure Web Proxy en el modo de implementación de proxy explícito:
Usa un editor de texto para crear un archivo
gateway.yaml.Agrega el siguiente código al archivo
gateway.yamlcon el campoallow_global_accessestablecido entrue.name: projects/PROJECT_ID/locations/REGION /gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/ NETWORK subnetwork: projects/PROJECT_ID/regions/REGION /subnetworks/SUBNETWORK routingMode: EXPLICIT_ROUTING_MODE allow_global_access: trueReemplaza lo siguiente:
PROJECT_ID: ID de tu proyectoREGION: Región de tu instancia de Secure Web ProxyIP_ADDRESS: Dirección IP de tu instancia de Secure Web ProxyNETWORK: Red de tu instancia de Secure Web ProxySUBNETWORK: Es la subred de tu instancia de Secure Web Proxy. Debes usar la subred de VPC que creaste como parte de los pasos de configuración inicial.
Para crear la instancia del Secure Web Proxy, usa el comando
gcloud network-services gateways import.gcloud network-services gateways import swp1 \ --source=gateway.yaml
Atributos de identidad en reglas de políticas
Los atributos de identidad, como las cuentas de servicio y las etiquetas, que están disponibles para su uso en las reglas de políticas de Secure Web Proxy siguen funcionando independientemente de si habilitas la función de acceso global.
Las aplicaciones cliente y las cargas de trabajo de varias Google Cloud regiones pueden proporcionar sus identidades, que tu instancia de Secure Web Proxy puede usar para aplicar las reglas de tu política. Para obtener más información, consulta Identidades admitidas para los atributos de origen.
Registro y supervisión
Los registros del Secure Web Proxy incluyen información sobre la fuente de tu tráfico saliente. Cuando habilitas el acceso global para tu instancia de Secure Web Proxy, los registros muestran la región original de una aplicación cliente, incluso si difiere de la región de tu proxy. Para obtener más información, consulta Registros y métricas.
¿Qué sigue?
- Descripción general de la inspección de TLS
- Crea una política de autorización
- Crea una política de seguridad de la puerta de enlace
- Crea una regla de seguridad de la puerta de enlace