Secure Web Proxy est un service régional. Par défaut, vos clients doivent se trouver dans la même Google Cloud région que l'instance Secure Web Proxy.
Lorsque vous activez l'accès mondial pour une instance Secure Web Proxy, les clients peuvent se connecter depuis n'importe quelle région, et pas seulement celle où le proxy est déployé. Cette fonctionnalité est compatible avec les cas d'utilisation suivants :
Trafic sortant d'une région spécifique : pour répondre aux exigences d'optimisation des coûts ou de conformité réglementaire, vous pouvez forcer tout le trafic Internet sortant à quitter une région particulière.
Basculement interrégional : si le proxy principal rencontre des problèmes, vous pouvez rediriger manuellement le trafic vers une autre instance Secure Web Proxy dans une autre région.
Avantages
Fiabilité et disponibilité accrues : en cas de panne régionale, vous pouvez rediriger le trafic vers d'autres instances Secure Web Proxy dans d'autres régions disponibles. Pour rediriger le trafic, vous pouvez ajuster les routes pour le mode de saut suivant ou modifier les enregistrements DNS pour le mode proxy explicite.
Gestion du réseau simplifiée : gérez votre trafic sortant à partir d'un emplacement centralisé pour simplifier l'administration du réseau de votre organisation.
Activer l'accès mondial
Pour activer l'accès mondial, vous devez définir le champ allow_global_access sur true dans votre fichier gateway.yaml lorsque vous créez une instance Secure Web Proxy.
Vous pouvez activer l'accès mondial pour Secure Web Proxy dans les modes de déploiement suivants :
Exemple de configuration
L'exemple suivant montre comment activer l'accès mondial lorsque vous créez une instance Secure Web Proxy en mode de déploiement de proxy explicite :
Utilisez un éditeur de texte pour créer un fichier
gateway.yaml.Ajoutez le code suivant au fichier
gateway.yamlavec le champallow_global_accessdéfini surtrue.name: projects/PROJECT_ID/locations/REGION /gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/ NETWORK subnetwork: projects/PROJECT_ID/regions/REGION /subnetworks/SUBNETWORK routingMode: EXPLICIT_ROUTING_MODE allow_global_access: trueRemplacez les éléments suivants :
PROJECT_ID: ID de votre projetREGION: région de votre instance Secure Web ProxyIP_ADDRESS: adresse IP de votre instance Secure Web ProxyNETWORK: réseau de votre instance Secure Web ProxySUBNETWORK: sous-réseau de votre instance Secure Web Proxy. Vous devez utiliser le sous-réseau VPC que vous avez créé lors des étapes de configuration initiale steps.
Pour créer l'instance Secure Web Proxy, utilisez la
gcloud network-services gateways importcommande.gcloud network-services gateways import swp1 \ --source=gateway.yaml
Attributs d'identité dans les règles de stratégie
Les attributs d'identité, tels que les comptes deservice et lestags, qui sont disponibles pour une utilisation dans les règles de stratégie Secure Web Proxy restent fonctionnels , que vous activiez ou non la fonctionnalité d'accès mondial.
Les applications clientes et les charges de travail de différentes Google Cloud régions peuvent fournir leurs identités, que votre instance Secure Web Proxy peut ensuite utiliser pour appliquer vos règles de stratégie. Pour en savoir plus, consultez la section Identités compatibles pour les attributs sources.
Journalisation et surveillance
Les journaux Secure Web Proxy incluent des informations sur la source de votre trafic sortant. Lorsque vous activez l'accès mondial pour votre instance Secure Web Proxy, les journaux affichent la région d'origine d'une application cliente, même si elle diffère de votre région de proxy. Pour en savoir plus, consultez la section Journaux et métriques.
Étape suivante
- Présentation de l'inspection TLS
- Créer une règle d'autorisation
- Créer une stratégie de sécurité de passerelle
- Créer une règle de sécurité de passerelle