Questa pagina fornisce una panoramica su come creare una policy Secure Web Proxy e spiega come configurare il routing hop successivo per l'istanza Secure Web Proxy. Inoltre, questa pagina descrive come configurare il routing statico o il routing basato su policy per l'hop successivo.
Per impostazione predefinita, le istanze SecureWebProxy hanno un valore RoutingMode di EXPLICIT_ROUTING_MODE, il che significa che devi configurare i carichi di lavoro in modo che inviino esplicitamente il traffico HTTP(S) a Secure Web Proxy. Anziché configurare i singoli client in modo che puntino all'istanza Secure Web Proxy, puoi impostare RoutingMode dell'istanza Secure Web Proxy su NEXT_HOP_ROUTING_MODE, che ti consente di definire le route che indirizzano il traffico all'istanza Secure Web Proxy.
Configurare il routing hop successivo per Secure Web Proxy
Questa sezione descrive i passelli per creare una policy Secure Web Proxy e la procedura per eseguire il deployment dell'istanza Secure Web Proxy come hop successivo.
Creare una policy Secure Web Proxy
- Completa tutti i passaggi dei prerequisiti richiesti.
- Crea una policy Secure Web Proxy.
- Crea regole Secure Web Proxy.
Eseguire il deployment dell'istanza Secure Web Proxy come hop successivo
Console
Nella Google Cloud console, vai alla pagina Proxy web.
Fai clic su Crea un proxy web sicuro.
Inserisci un nome per il proxy web che vuoi creare, ad esempio
myswp.Inserisci una descrizione del proxy web, ad esempio
My new swp.Per Modalità di routing, seleziona l'opzione Hop successivo.
Nell'elenco Regioni, seleziona la regione in cui vuoi creare il proxy web.
Nell'elenco Rete, seleziona la rete in cui vuoi creare il proxy web.
Nell'elenco Subnet, seleziona la subnet in cui vuoi creare il proxy web.
(Facoltativo) Inserisci l'indirizzo IP di Secure Web Proxy. Puoi inserire un indirizzo IP dall'intervallo di indirizzi IP di Secure Web Proxy che si trovano nella subnet creata nel passaggio precedente. Se non inserisci l'indirizzo IP, l'istanza Secure Web Proxy sceglie automaticamente un indirizzo IP dalla subnet selezionata.
Nell'elenco Certificato, seleziona il certificato che vuoi utilizzare per creare il proxy web.
Nell'elenco Policy, seleziona la policy che hai creato per associare il proxy web.
Fai clic su Crea.
Cloud Shell
Crea il file
gateway.yaml.name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443, 80] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/NETWORK subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK routingMode: NEXT_HOP_ROUTING_MODECrea un'istanza Secure Web Proxy.
gcloud network-services gateways import swp1 \ --source=gateway.yaml \ --location=REGIONIl deployment di un'istanza Secure Web Proxy può richiedere diversi minuti.
Creare route per l'hop successivo
Dopo aver creato un'istanza Secure Web Proxy, puoi configurare il routing statico o il routing basato su policy per l'hop successivo:
- Le route statiche indirizzano il traffico all'interno della rete all'istanza Secure Web Proxy nella stessa regione. Per configurare una route statica con il tuo Secure Web Proxy come hop successivo, devi configurare i tag di rete.
- Il routing basato su policy ti consente di indirizzare il traffico all'istanza Secure Web Proxy da un intervallo di indirizzi IP di origine. Quando configuri una route basata su policy per la prima volta, devi configurare anche un'altra route basata su policy come route predefinita.
Le due sezioni seguenti spiegano come creare route statiche e route basate su policy.
Creare route statiche
Per instradare il traffico all'istanza Secure Web Proxy, configura una route statica con il comando gcloud compute routes create. Devi associare la
route statica a un tag di rete e utilizzare
lo stesso tag di rete su tutte le risorse di origine per assicurarti che il loro
traffico venga reindirizzato all'istanza Secure Web Proxy. Le route statiche non consentono di definire un intervallo di indirizzi IP di origine.
Per saperne di più sul funzionamento delle route statiche in Google Cloud, consulta Route statiche.
gcloud
Utilizza il seguente comando per creare una route statica.
gcloud compute routes create STATIC_ROUTE_NAME \
--network=NETWORK_NAME \
--next-hop-ilb=SWP_IP \
--destination-range=DESTINATION_RANGE \
--priority=PRIORITY \
--tags=TAGS \
--project=PROJECT
Sostituisci quanto segue:
STATIC_ROUTE_NAME: nome della route staticaNETWORK_NAME: nome della reteSWP_IP: indirizzo IP dell'istanzaSecureWebProxynella subnet specificata nel filegateway.yamlDESTINATION_RANGE: intervallo di indirizzi IP a cui vuoi reindirizzare il traffico. Ad esempio, utilizza0.0.0.0/0per instradare tutto il traffico internet all'istanza Secure Web ProxyPRIORITY: priorità della route; i numeri più alti indicano una priorità più bassa. Assicurati che la priorità della route sia numericamente inferiore alla route internet predefinita, che in genere è1000TAGS: elenco di tag separati da virgole che utilizzerai con l'istanza Secure Web ProxyPROJECT: ID del progetto
Crea una VM nella subnet appropriata con i tag di rete specificati nella route
gcloud compute instances create swp-nexthop-test-vm \
--subnet=SUBNETWORK \
--zone=ZONE \
--image-project=debian-cloud \
--image-family=debian-11 \
--tags=TAGSSostituisci quanto segue:
SUBNETWORK: subnet configurata per il proxy webZONE: zona dell'istanza VM di testTAGS: elenco di tag separati da virgole che utilizzerai con l'istanza Secure Web Proxy
Creare route basate su policy
In alternativa al routing statico, puoi configurare una route basata su policy utilizzando il comando network-connectivity policy-based-routes create. Devi anche creare una route basata su policy come route predefinita, che abilita il routing predefinito per il traffico tra le istanze di macchine virtuali (VM) all'interno della rete. Per saperne di più sul funzionamento delle route basate su policy in
Google Cloud, consulta Routing basato su policy.
La priorità della route che abilita il routing predefinito deve essere più alta (numericamente inferiore) rispetto alla priorità della route basata su policy che indirizza il traffico all'istanza Secure Web Proxy. Se crei la route basata su policy con una priorità più alta rispetto alla route che abilita il routing predefinito, questa ha la priorità su tutte le altre route VPC.
Utilizza l'esempio seguente per creare una route basata su policy che indirizza il traffico all'istanza Secure Web Proxy.
gcloud
Utilizza il seguente comando per creare la route basata su policy.
gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-ilb-ip=SWP_IP \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=2 \
--project=PROJECT
Sostituisci quanto segue:
POLICY_BASED_ROUTE_NAME: nome della route basata su policyNETWORK_NAME: nome della reteSWP_IP: indirizzo IP dell'istanza Secure Web ProxyDESTINATION_RANGE: intervallo di indirizzi IP a cui vuoi reindirizzare il trafficoSOURCE_RANGE: intervallo di indirizzi IP da cui vuoi reindirizzare il trafficoPROJECT: ID del progetto
A questo punto, segui questi passaggi per creare la route basata su policy di routing predefinito.
gcloud
Utilizza il seguente comando per creare la route basata su policy di routing predefinito.
gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-other-routes="DEFAULT_ROUTING" \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=1 \
--project=PROJECT
Sostituisci quanto segue:
DEFAULT_POLICY_BASED_ROUTE_NAME: nome della route basata su policyNETWORK_NAME: nome della reteDESTINATION_RANGE: intervallo di indirizzi IP a cui vuoi reindirizzare il trafficoSOURCE_RANGE: intervallo di indirizzi IP da cui vuoi reindirizzare il trafficoPROJECT: ID del progetto
Elenco di controllo post-deployment
Assicurati di completare le seguenti attività dopo aver configurato una route statica o una route basata su policy con l'istanza Secure Web Proxy come hop successivo:
- Verifica che esista una route predefinita al gateway internet.
- Aggiungi il tag di rete corretto alla route statica che punta all'istanza Secure Web Proxy come hop successivo.
- Definisci una priorità appropriata per la route predefinita all'istanza Secure Web Proxy come hop successivo.
- Poiché Secure Web Proxy è un servizio regionale, assicurati che il traffico client provenga dalla stessa regione dell'istanza Secure Web Proxy.
Limitazioni
- Le istanze
SecureWebProxyconRoutingModeimpostato suNEXT_HOP_ROUTING_MODEsupportano il traffico proxy HTTP(S) e TCP. Altri tipi di traffico, incluso il traffico tra regioni, vengono eliminati senza notifica. - Quando utilizzi
next-hop-ilb, le limitazioni che si applicano ai bilanciatori del carico di rete passthrough interni si applicano agli hop successivi se l'hop successivo di destinazione è un'istanza Secure Web Proxy. Per saperne di più, consulta le tabelle degli hop successivi e delle funzionalità per le route statiche. - Tutto il traffico delle macchine virtuali (VM), inclusi il traffico in background e gli aggiornamenti, che corrisponde alla route dell'hop successivo verrà instradato all'istanza Secure Web Proxy.
- Per una rete VPC in una regione, puoi eseguire il deployment di una sola istanza Secure Web Proxy come hop successivo (SWPaNH).