Mengonfigurasi akses global untuk Secure Web Proxy

Secure Web Proxy adalah layanan regional. Secara default, klien Anda harus berada di region yang sama dengan instance Secure Web Proxy. Google Cloud

Jika Anda mengaktifkan akses global untuk instance Secure Web Proxy, klien dapat terhubung dari region mana pun, bukan hanya region tempat proxy di-deploy. Fitur ini mendukung kasus penggunaan berikut:

• Traffic keluar dari region tertentu: untuk memenuhi persyaratan pengoptimalan biaya atau kepatuhan terhadap peraturan, Anda dapat menerapkan semua traffic internet keluar agar keluar dari region tertentu.

• Failover lintas region: jika proxy utama mengalami masalah, Anda dapat mengalihkan traffic secara manual ke instance Secure Web Proxy alternatif di region lain.

Manfaat

• Peningkatan keandalan dan ketersediaan: jika terjadi pemadaman layanan regional, Anda dapat mengalihkan traffic ke instance Secure Web Proxy alternatif di region lain yang tersedia. Untuk mengalihkan traffic, Anda dapat menyesuaikan rute untuk mode hop berikutnya atau mengubah data DNS untuk mode proxy eksplisit.

• Pengelolaan jaringan yang disederhanakan: kelola traffic keluar Anda dari lokasi terpusat untuk menyederhanakan administrasi jaringan bagi organisasi Anda.

Mengaktifkan akses global

Untuk mengaktifkan akses global, Anda harus menetapkan kolom allow_global_access ke true di file gateway.yaml saat membuat instance Secure Web Proxy.

Anda dapat mengaktifkan akses global untuk Secure Web Proxy dalam mode deployment berikut:

• Proxy eksplisit
• Hop berikutnya
• Sebagai layanan Private Service Connect (PSC)

Contoh konfigurasi

Contoh berikut menunjukkan cara mengaktifkan akses global saat Anda membuat instance Secure Web Proxy dalam mode deployment proxy eksplisit:

1. Gunakan editor teks untuk membuat file gateway.yaml.

2. Tambahkan kode berikut ke file gateway.yaml dengan kolom allow_global_access yang ditetapkan ke true.

   name: projects/PROJECT_ID/locations/REGION
       /gateways/swp1
   type: SECURE_WEB_GATEWAY
   addresses: ["IP_ADDRESS"]
   ports: [443]
   gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
   network: projects/PROJECT_ID/global/networks/
       NETWORK
   subnetwork: projects/PROJECT_ID/regions/REGION
       /subnetworks/SUBNETWORK
   routingMode: EXPLICIT_ROUTING_MODE
   allow_global_access: true
   

   Ganti kode berikut:

   • PROJECT_ID: ID project Anda

   • REGION: region instance Secure Web Proxy Anda

   • IP_ADDRESS: alamat IP instance Secure Web Proxy Anda

   • NETWORK: jaringan instance Secure Web Proxy Anda

   • SUBNETWORK: subnetwork instance Secure Web Proxy Anda. Anda harus menggunakan subnet VPC yang Anda buat sebagai bagian dari langkah-langkah penyiapan awal.

3. Untuk membuat instance Secure Web Proxy, gunakan perintah gcloud network-services gateways import.

   gcloud network-services gateways import swp1 \
       --source=gateway.yaml
   

Atribut identitas dalam aturan kebijakan

Atribut identitas, seperti akun layanan dan tag, yang tersedia untuk digunakan dalam aturan kebijakan Secure Web Proxy tetap berfungsi terlepas dari apakah Anda mengaktifkan fitur akses global atau tidak.

Aplikasi dan workload klien dari berbagai Google Cloud region dapat memberikan identitasnya, yang kemudian dapat digunakan oleh instance Secure Web Proxy Anda untuk menerapkan aturan kebijakan Anda. Untuk mengetahui informasi selengkapnya, lihat Identitas yang didukung untuk atribut sumber.

Logging dan pemantauan

Log Secure Web Proxy mencakup informasi tentang sumber traffic keluar Anda. Saat Anda mengaktifkan akses global untuk instance Secure Web Proxy, log akan menampilkan region asli aplikasi klien, meskipun berbeda dengan region proxy Anda. Untuk mengetahui informasi selengkapnya, lihat Log dan metrik.

Langkah berikutnya

• Ringkasan pemeriksaan TLS
• Membuat kebijakan otorisasi
• Membuat kebijakan keamanan gateway
• Membuat aturan keamanan gateway