Cette page explique comment créer une stratégie Secure Web Proxy, puis comment configurer le routage du prochain saut pour votre instance Secure Web Proxy. Elle décrit également comment configurer soit le routage statique soit le routage basé sur des règles pour votre saut suivant.
Par défaut, les instances SecureWebProxy ont une valeur RoutingMode de EXPLICIT_ROUTING_MODE, ce qui signifie que vous devez configurer vos charges de travail pour qu'elles envoient explicitement le trafic HTTP(S) à Secure Web Proxy. Au lieu de configurer des clients individuels pour qu'ils pointent vers votre instance Secure Web Proxy, vous pouvez définir le RoutingMode de votre instance Secure Web Proxy sur NEXT_HOP_ROUTING_MODE, ce qui vous permet de définir des routes qui dirigent le trafic vers votre instance Secure Web Proxy.
Lorsque vous déployez votre instance de Secure Web Proxy en tant que prochain saut, vous pouvez activer la passerelle pour qu'elle écoute sur tous les ports (de 1 à 65535), ce qui simplifie la configuration pour les environnements dynamiques ou les services qui utilisent plusieurs ports.
Configurer le routage du saut suivant pour Secure Web Proxy
Cette section décrit les étapes à suivre pour créer une stratégie de proxy Web sécurisé et la procédure à suivre pour déployer votre instance de proxy Web sécurisé en tant que saut suivant.
Créer une stratégie de proxy Web sécurisé
- Suivez toutes les étapes préalables requises.
- Créez une stratégie de proxy Web sécurisé.
- Créez des règles de proxy Web sécurisé.
Déployer votre instance de Secure Web Proxy en tant que saut suivant
Console
Dans la Google Cloud console, accédez à la page Proxys Web.
Cliquez sur Créer un proxy Web sécurisé.
Saisissez un nom pour le proxy Web que vous souhaitez créer, par exemple
myswp.Saisissez une description du proxy Web, par exemple
My new swp.Pour Mode de routage, sélectionnez l'option Saut suivant.
Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer le proxy Web.
Dans la liste Réseau, sélectionnez le réseau dans lequel vous souhaitez créer le proxy Web.
Dans la liste Sous-réseau, sélectionnez le sous-réseau dans lequel vous souhaitez créer le proxy Web.
Facultatif : Saisissez l'adresse IP du proxy Web sécurisé. Vous pouvez saisir une adresse IP de la plage d'adresses IP du Secure Web Proxy qui se trouve dans le sous-réseau que vous avez créé à l'étape précédente. Si vous ne saisissez pas l'adresse IP, votre instance Secure Web Proxy en choisit automatiquement une dans le sous-réseau sélectionné.
Dans la liste Certificat, sélectionnez le certificat que vous souhaitez utiliser pour créer le proxy Web.
Dans la liste Stratégie, sélectionnez la stratégie que vous avez créée pour associer le proxy Web.
Cliquez sur Créer.
Cloud Shell
Créez le fichier
gateway.yaml.name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443, 80] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/NETWORK subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK routingMode: NEXT_HOP_ROUTING_MODEFacultatif : Pour configurer la passerelle afin qu'elle écoute sur tous les ports (de
1à65535), ajoutez le champall_portsdans le fichiergateway.yamlet définissez-le surtrue. Cette fonctionnalité est disponible en version preview.Pour en savoir plus sur les limites liées à l'utilisation de la fonctionnalité
all_ports, consultez la section Limites.name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] all_ports: true gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/NETWORK subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK routingMode: NEXT_HOP_ROUTING_MODECréez une instance de proxy Web sécurisé.
gcloud network-services gateways import swp1 \ --source=gateway.yaml \ --location=REGIONLe déploiement d'une instance de Secure Web Proxy peut prendre plusieurs minutes.
Créer des routes pour le saut suivant
Une fois que vous avez créé une instance de Secure Web Proxy, vous pouvez configurer le routage statique ou le routage basé sur des règles pour votre prochain saut :
- Les routes statiques dirigent le trafic au sein de votre réseau vers votre instance de Secure Web Proxy dans la même région. Pour configurer une route statique avec votre Secure Web Proxy comme prochain saut, vous devez configurer des tags réseau.
- Les routes basées sur des règles vous permettent de diriger le trafic vers votre instance Secure Web Proxy à partir d'une plage d'adresses IP source. Lorsque vous configurez une route basée sur des règles pour la première fois, vous devez également configurer une autre route basée sur des règles comme route par défaut.
Les deux sections suivantes expliquent comment créer des routes statiques et des routes basées sur des règles.
Créer des routes statiques
Pour acheminer le trafic vers votre instance Secure Web Proxy, configurez une route statique à l'aide de la commande gcloud compute routes create. Vous devez associer la
route statique à un tag réseau et utiliser
le même tag réseau sur toutes vos ressources sources pour vous assurer que leur
trafic est redirigé vers votre instance Secure Web Proxy. Les routes statiques ne vous permettent pas de définir une plage d'adresses IP source.
Pour en savoir plus sur le fonctionnement des routes statiques dans Google Cloud, consultez la section Routes statiques.
gcloud
Utilisez la commande suivante pour créer une route statique.
gcloud compute routes create STATIC_ROUTE_NAME \
--network=NETWORK_NAME \
--next-hop-ilb=SWP_IP \
--destination-range=DESTINATION_RANGE \
--priority=PRIORITY \
--tags=TAGS \
--project=PROJECT
Remplacez les éléments suivants :
STATIC_ROUTE_NAME: nom de votre route statiqueNETWORK_NAME: nom de votre réseauSWP_IP: adresse IP de votre instanceSecureWebProxydans le sous-réseau spécifié dans le fichiergateway.yamlDESTINATION_RANGE: plage d'adresses IP vers laquelle vous souhaitez rediriger le trafic. Par exemple, utilisez0.0.0.0/0pour acheminer tout le trafic Internet vers votre instance Secure Web Proxy.PRIORITY: priorité de votre route. Les nombres plus élevés indiquent une priorité plus faible. Assurez-vous que la priorité de votre route est numériquement inférieure à celle de la route Internet par défaut, qui est généralement1000.TAGS: liste de tags séparés par une virgule que vous utiliserez avec votre instance de proxy Web sécuriséPROJECT: ID de votre projet
Créer une VM dans le sous-réseau approprié avec les tags réseau spécifiés dans la route
gcloud compute instances create swp-nexthop-test-vm \
--subnet=SUBNETWORK \
--zone=ZONE \
--image-project=debian-cloud \
--image-family=debian-11 \
--tags=TAGSRemplacez les éléments suivants :
SUBNETWORK: sous-réseau que vous avez configuré pour le proxy WebZONE: zone de votre instance de VM de testTAGS: liste de tags séparés par une virgule que vous utiliserez avec votre instance de Secure Web Proxy
Créer des routes basées sur des règles
Au lieu du routage statique, vous pouvez configurer une route basée sur des règles à l'aide de la commande network-connectivity policy-based-routes create. Vous devez également créer une route basée sur des règles comme route par défaut, ce qui active le routage par défaut pour le trafic entre les instances de machine virtuelle (VM) au sein de votre réseau. Pour en savoir plus sur le fonctionnement des routes basées sur des règles dans
Google Cloud, consultez la section Routage basé sur des règles.
La priorité de la route qui active le routage par défaut doit être supérieure (numériquement inférieure) à celle de la route basée sur des règles qui dirige le trafic vers l'instance Secure Web Proxy. Si vous créez la route basée sur des règles avec une priorité plus élevée que la route qui active le routage par défaut, elle est prioritaire sur toutes les autres routes VPC.
Utilisez l'exemple suivant pour créer une route basée sur des règles qui dirige le trafic vers votre instance Secure Web Proxy.
gcloud
Utilisez la commande suivante pour créer la route basée sur des règles.
gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-ilb-ip=SWP_IP \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=2 \
--project=PROJECT
Remplacez les éléments suivants :
POLICY_BASED_ROUTE_NAME: nom de votre route basée sur des règlesNETWORK_NAME: nom de votre réseauSWP_IP: adresse IP de votre instance Secure Web ProxyDESTINATION_RANGE: plage d'adresses IP vers laquelle vous souhaitez rediriger le traficSOURCE_RANGE: plage d'adresses IP à partir de laquelle vous souhaitez rediriger le traficPROJECT: ID de votre projet
Ensuite, procédez comme suit pour créer la route basée sur des règles de routage par défaut.
gcloud
Utilisez la commande suivante pour créer la route basée sur des règles de routage par défaut.
gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-other-routes="DEFAULT_ROUTING" \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=1 \
--project=PROJECT
Remplacez les éléments suivants :
DEFAULT_POLICY_BASED_ROUTE_NAME: nom de votre route basée sur des règlesNETWORK_NAME: nom de votre réseauDESTINATION_RANGE: plage d'adresses IP vers laquelle vous souhaitez rediriger le traficSOURCE_RANGE: plage d'adresses IP à partir de laquelle vous souhaitez rediriger le traficPROJECT: ID de votre projet
Checklist post-déploiement
Assurez-vous d'effectuer les tâches suivantes après avoir configuré une route statique ou une route basée sur des règles avec votre instance de Secure Web Proxy comme saut suivant :
- Vérifiez qu'il existe une route par défaut vers la passerelle Internet.
- Ajoutez le tag réseau approprié à la route statique qui pointe vers votre instance de proxy Web sécurisé comme saut suivant.
- Définissez une priorité appropriée pour la route par défaut vers votre instance Secure Web Proxy comme prochain saut.
- Étant donné que Secure Web Proxy est un service régional, assurez-vous que le trafic client provient de la même région que votre instance Secure Web Proxy.
Limites
- Les instances
SecureWebProxydont leRoutingModeest défini surNEXT_HOP_ROUTING_MODEsont compatibles avec le trafic proxy HTTP(S) et TCP. Les autres types de trafic, y compris le trafic interrégional, sont supprimés sans notification. - Lorsque vous utilisez
next-hop-ilb, les limites qui s'appliquent aux équilibreurs de charge réseau passthrough internes s'appliquent aux sauts suivants si le saut suivant de destination est une instance Secure Web Proxy. Pour en savoir plus, consultez les tableaux des sauts suivants et des fonctionnalités pour les routes statiques. - Tout le trafic provenant des machines virtuelles (VM), y compris le trafic en arrière-plan et les mises à jour, qui correspond à votre route de saut suivant sera acheminé vers votre instance Secure Web Proxy.
- Pour un réseau VPC dans une région, vous ne pouvez déployer qu'une seule instance de Secure Web Proxy en tant que saut suivant (SWPaNH).
- Lorsque vous utilisez la fonctionnalité
all_ports, les limites suivantes s'appliquent :- La fonctionnalité
all_portsne s'applique qu'aux passerelles dont letype: SECURE_WEB_GATEWAY. - Vous ne pouvez utiliser la configuration
all_ports: trueque lorsqueroutingModeest défini surNEXT_HOP_ROUTING_MODE. - Vous ne pouvez pas spécifier à la fois la configuration
all_ports: trueet répertorier des ports individuels dans le champ "ports" pour la même ressource de passerelle. Vous ne devez utiliser qu'un seul type de configuration de port, et non les deux. - Dans un réseau et une région donnés, vous ne pouvez pas déployer simultanément une instance de Secure Web Proxy en mode de saut suivant avec la configuration
all_ports: trueet une autre instance de Secure Web Proxy dans un autre mode.
- La fonctionnalité