本頁面提供如何建立 Secure Web Proxy 政策的總覽,並說明如何為 Secure Web Proxy 執行個體設定下一個躍點的路由。此外,本頁面也會說明如何為下一個躍點設定靜態路由或策略路由。
根據預設,SecureWebProxy 執行個體的 RoutingMode 值為 EXPLICIT_ROUTING_MODE,這表示您必須設定工作負載,明確將 HTTP(S) 流量傳送至 Secure Web Proxy。您不必設定個別用戶端來指向 Secure Web Proxy 執行個體,而是可以將 Secure Web Proxy 執行個體的 RoutingMode 設為 NEXT_HOP_ROUTING_MODE,這樣就能定義將流量導向 Secure Web Proxy 執行個體的路由。
將 Secure Web Proxy 執行個體部署為下一個躍點時,您可以啟用閘道來監聽所有通訊埠 (從 1 到 65535),簡化動態環境或使用多個通訊埠的服務設定。
設定 Secure Web Proxy 的下一個躍點轉送
本節說明建立 Secure Web Proxy 政策的步驟,以及將 Secure Web Proxy 執行個體部署為下一個躍點的程序。
建立 Secure Web Proxy 政策
將 Secure Web Proxy 執行個體部署為下一個躍點
控制台
前往 Google Cloud 控制台的「Web Proxies」(網頁 Proxy) 頁面。
按一下 「建立安全無虞的網路 Proxy」。
輸入要建立的網頁 Proxy 名稱,例如
myswp。輸入網頁 Proxy 的說明,例如
My new swp。在「Routing mode」(轉送模式) 中,選取「Next hop」(下一個躍點) 選項。
在「區域」清單中,選取要建立網頁 Proxy 的區域。
在「Network」(網路) 清單中,選取要建立網頁 Proxy 的網路。
在「Subnetwork」(子網路) 清單中,選取要建立網頁 Proxy 的子網路。
選用:輸入 Secure Web Proxy IP 位址。您可以輸入 IP 位址,該位址必須位於您在上一個步驟建立的子網路中,且屬於 Secure Web Proxy IP 位址範圍。如果您未輸入 IP 位址,Secure Web Proxy 執行個體會自動從所選子網路中選擇 IP 位址。
在「憑證」清單中,選取要用於建立網頁 Proxy 的憑證。
在「政策」清單中,選取您建立的政策,將網頁 Proxy 與該政策建立關聯。
點選「建立」。
Cloud Shell
建立
gateway.yaml檔案。name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443, 80] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/NETWORK subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK routingMode: NEXT_HOP_ROUTING_MODE選用:如要將閘道設定為監聽所有連接埠 (從
1到65535),請在gateway.yaml檔案中新增all_ports欄位,並設為true。這項功能支援預先發布版。如要瞭解使用
all_ports功能的相關限制,請參閱「限制」一節。name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] all_ports: true gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/NETWORK subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK routingMode: NEXT_HOP_ROUTING_MODE建立 Secure Web Proxy 執行個體。
gcloud network-services gateways import swp1 \ --source=gateway.yaml \ --location=REGION部署 Secure Web Proxy 執行個體可能需要幾分鐘的時間。
為下一個躍點建立路徑
建立 Secure Web Proxy 執行個體後,您可以為下一個躍點設定靜態路由或策略路由:
- 靜態路由會將網路內的流量導向同一個區域的 Secure Web Proxy 執行個體。如要設定靜態路徑,並將 Secure Web Proxy 設為下一個躍點,請務必設定網路標記。
- 您可以透過以政策為依據的路徑,將來自來源 IP 位址範圍的流量導向 Secure Web Proxy 執行個體。首次設定政策型路徑時,您也必須設定另一個政策型路徑做為預設路徑。
以下兩節說明如何建立靜態路徑和以政策為準的路徑。
建立靜態路徑
如要將流量導向 Secure Web Proxy 執行個體,請使用 gcloud compute routes create 指令設定靜態路徑。您必須將靜態路由與網路標記建立關聯,並在所有來源資源上使用相同的網路標記,確保這些資源的流量重新導向至 Secure Web Proxy 執行個體。靜態路由無法定義來源 IP 位址範圍。
如要進一步瞭解靜態路徑在 Google Cloud中的運作方式,請參閱「靜態路徑」。
gcloud
使用下列指令建立靜態路徑。
gcloud compute routes create STATIC_ROUTE_NAME \
--network=NETWORK_NAME \
--next-hop-ilb=SWP_IP \
--destination-range=DESTINATION_RANGE \
--priority=PRIORITY \
--tags=TAGS \
--project=PROJECT
更改下列內容:
STATIC_ROUTE_NAME:靜態路由的名稱NETWORK_NAME:網路名稱SWP_IP:gateway.yaml檔案中指定子網路的SecureWebProxy執行個體 IP 位址DESTINATION_RANGE:要將流量重新導向的 IP 位址範圍。舉例來說,使用0.0.0.0/0將所有網際網路流量路由至 Secure Web Proxy 執行個體PRIORITY:路由的優先順序,數字越大代表優先順序越低。確認路徑的優先順序在數值上低於預設網際網路路徑,通常為1000TAGS:您將與 Secure Web Proxy 執行個體搭配使用的標記逗號分隔的清單PROJECT:專案 ID
在適當的子網路中建立 VM,並指定路徑中定義的網路標記
gcloud compute instances create swp-nexthop-test-vm \
--subnet=SUBNETWORK \
--zone=ZONE \
--image-project=debian-cloud \
--image-family=debian-11 \
--tags=TAGS更改下列內容:
SUBNETWORK:為網頁 Proxy 設定的子網路ZONE:測試 VM 執行個體的可用區TAGS:以逗號分隔的標記清單,這些標記將與 Secure Web Proxy 執行個體搭配使用
建立策略路由
除了靜態路徑外,您也可以使用 network-connectivity policy-based-routes create 指令設定政策型路徑。您也需要建立以政策為依據的路徑做為預設路徑,以便為網路內虛擬機器 (VM) 執行個體之間的流量啟用預設路徑。如要進一步瞭解策略路由在Google Cloud中的運作方式,請參閱策略路由。
啟用預設轉送的路由優先順序必須高於 (數值較低) 將流量導向 Secure Web Proxy 執行個體的政策型路由。如果您建立的策略路由優先順序高於啟用預設路由的路徑,該策略路由的優先順序就會高於所有其他 VPC 路由。
使用下列範例建立以政策為依據的路徑,將流量導向 Secure Web Proxy 執行個體。
gcloud
使用下列指令建立以政策為準的路由。
gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-ilb-ip=SWP_IP \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=2 \
--project=PROJECT
更改下列內容:
POLICY_BASED_ROUTE_NAME:以政策為準的路由名稱NETWORK_NAME:網路名稱SWP_IP:Secure Web Proxy 執行個體的 IP 位址DESTINATION_RANGE:要將流量重新導向的 IP 位址範圍SOURCE_RANGE:要重新導向流量的 IP 位址範圍PROJECT:專案 ID
接著,請按照下列步驟建立以預設路徑策略為準的路徑。
gcloud
使用下列指令建立以政策為準的預設路由。
gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-other-routes="DEFAULT_ROUTING" \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=1 \
--project=PROJECT
更改下列內容:
DEFAULT_POLICY_BASED_ROUTE_NAME:以政策為依據的路由名稱NETWORK_NAME:網路名稱DESTINATION_RANGE:要將流量重新導向的 IP 位址範圍SOURCE_RANGE:要重新導向流量的 IP 位址範圍PROJECT:專案 ID
部署後檢查清單
設定靜態路徑或以政策為準的路徑後,請務必完成下列工作,並將 Secure Web Proxy 執行個體設為下一個躍點:
- 確認網際網路閘道有預設路由。
- 在指向 Secure Web Proxy 執行個體做為下一個躍點的靜態路徑中,加入正確的網路標記。
- 為預設路徑定義適當的優先順序,將 Secure Web Proxy 執行個體設為下一個躍點。
- 由於 Secure Web Proxy 是區域服務,請確保用戶端流量與 Secure Web Proxy 執行個體位於相同區域。
限制
SecureWebProxy執行個體 (RoutingMode設為NEXT_HOP_ROUTING_MODE) 支援 HTTP(S) 和 TCP Proxy 流量。其他類型的流量 (包括跨區域流量) 會遭到捨棄,且不會收到通知。- 使用
next-hop-ilb時,如果目的地是 Secure Web Proxy 執行個體,則適用於內部直通式網路負載平衡器的限制,也會套用至下一個躍點。詳情請參閱靜態路徑的下一個躍點和功能表格。 - 凡是下一個躍點路由相符的虛擬機器 (VM) 流量 (包括背景流量和更新),都會轉送至您的 Secure Web Proxy 執行個體。
- 在某個地區的虛擬私有雲網路中,您只能部署一個 Secure Web Proxy 做為下一個躍點 (SWPaNH) 執行個體。
- 使用
all_ports功能時,請注意以下限制:all_ports功能僅適用於具有type: SECURE_WEB_GATEWAY的閘道。- 只有在
routingMode設為NEXT_HOP_ROUTING_MODE時,才能使用all_ports: true設定。 - 您無法同時指定
all_ports: true設定,以及在相同閘道資源的通訊埠欄位中列出個別通訊埠。您只能使用一種通訊埠設定,不能同時使用兩種。 - 在特定網路和區域中,您無法同時部署一個處於下一個躍點模式的 Secure Web Proxy 執行個體 (使用
all_ports: true設定),以及另一個處於任何其他模式的 Secure Web Proxy 執行個體。