보안 웹 프록시를 다음 홉으로 배포

이 페이지에서는 Secure Web Proxy 정책을 만드는 방법을 간략하게 설명한 후 Secure Web Proxy 인스턴스의 다음 홉 라우팅을 구성하는 방법을 설명합니다. 또한 이 페이지에서는 다음 홉에 정적 라우팅 또는 정책 기반 라우팅을 구성하는 방법을 설명합니다.

기본적으로 SecureWebProxy 인스턴스의 RoutingMode 값은 EXPLICIT_ROUTING_MODE입니다. 즉, HTTP(S) 트래픽을 Secure Web Proxy에 명시적으로 전송하도록 워크로드를 구성해야 합니다. 보안 웹 프록시 인스턴스로 전달하도록 개별 클라이언트를 구성하는 대신 보안 웹 프록시 인스턴스의 RoutingModeNEXT_HOP_ROUTING_MODE로 설정하면 됩니다. 그러면 보안 웹 프록시 인스턴스로 트래픽을 전달하는 경로를 정의할 수 있습니다.

Secure Web Proxy의 다음 홉 라우팅 구성

이 섹션에서는 Secure Web Proxy 정책을 만드는 단계 와 Secure Web Proxy 인스턴스를 다음 홉으로 배포하는 절차를 설명합니다.

보안 웹 프록시 정책 만들기

  1. 필수 사전 요구사항 단계를 모두 완료합니다.
  2. Secure Web Proxy 정책을 만듭니다.
  3. Secure Web Proxy 규칙을 만듭니다.

Secure Web Proxy 인스턴스를 다음 홉으로 배포

콘솔

  1. 콘솔에서 웹 프록시 페이지로 이동합니다. Google Cloud

    웹 프록시로 이동

  2. 보안 웹 프록시 만들기를 클릭합니다.

  3. 만들려는 웹 프록시의 이름(예: myswp)을 입력합니다.

  4. 웹 프록시에 대한 설명(예: My new swp)을 입력합니다.

  5. 라우팅 모드에서 다음 홉 옵션을 선택합니다.

  6. 리전 목록에서 웹 프록시를 만들 리전을 선택합니다.

  7. 네트워크 목록에서 웹 프록시를 만들 네트워크를 선택합니다.

  8. 서브네트워크 목록에서 웹 프록시를 만들 서브네트워크를 선택합니다.

  9. (선택사항) 보안 웹 프록시 IP 주소를 입력합니다. 이전 단계에서 만든 서브네트워크에 있는 Secure Web Proxy IP 주소 범위에서 IP 주소를 입력할 수 있습니다. IP 주소를 입력하지 않으면 Secure Web Proxy 인스턴스가 선택한 서브네트워크에서 IP 주소를 자동으로 선택합니다.

  10. 인증서 목록에서 웹 프록시를 만드는 데 사용할 인증서를 선택합니다.

  11. 정책 목록에서 웹 프록시를 연결하기 위해 만든 정책을 선택합니다.

  12. 만들기를 클릭합니다.

Cloud Shell

  1. gateway.yaml 파일을 생성합니다.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443, 80]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

  2. Secure Web Proxy 인스턴스를 만듭니다.

    gcloud network-services gateways import swp1 \
  --source=gateway.yaml \
  --location=REGION

    Secure Web Proxy 인스턴스를 배포하는 데 몇 분 정도 걸릴 수 있습니다.

다음 홉의 경로 만들기

Secure Web Proxy 인스턴스를 만든 후 다음 홉에 정적 라우팅 또는 정책 기반 라우팅 을 구성할 수 있습니다.

다음 두 섹션에서는 정적 경로와 정책 기반 경로를 만드는 방법을 설명합니다.

정적 경로 만들기

Secure Web Proxy 인스턴스로 트래픽을 라우팅하려면 gcloud compute routes create 명령어를 사용하여 정적 경로를 설정합니다. 정적 경로를 네트워크 태그와 연결하고 모든 소스 리소스에 동일한 네트워크 태그를 사용하여 트래픽이 Secure Web Proxy 인스턴스로 리디렉션되도록 해야 합니다. 정적 경로는 소스 IP 주소 범위를 정의할 수 없습니다.

정적 경로가 작동하는 방식에 대한 자세한 내용은 Google Cloud 정적 경로를 참조하세요.

gcloud

다음 명령어를 사용하여 정적 경로를 만듭니다.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

다음을 바꿉니다.

  • STATIC_ROUTE_NAME: 정적 경로의 이름
  • NETWORK_NAME: 네트워크 이름
  • SWP_IP: gateway.yaml 파일에 지정된 서브네트워크에 있는 SecureWebProxy 인스턴스의 IP 주소
  • DESTINATION_RANGE: 트래픽을 리디렉션할 IP 주소 범위 예를 들어 모든 인터넷 트래픽을 Secure Web Proxy 인스턴스로 라우팅하려면 0.0.0.0/0을 사용합니다.
  • PRIORITY: 경로의 우선순위. 숫자가 클수록 우선순위가 낮습니다. 경로의 우선순위가 일반적으로 1000인 기본 인터넷 경로보다 숫자가 낮아야 합니다.
  • TAGS: Secure Web Proxy 인스턴스와 함께 사용할 태그의 쉼표로 구분된 목록
  • PROJECT: 프로젝트의 ID

경로에 지정된 네트워크 태그가 있는 적절한 서브넷에 VM 만들기

gcloud compute instances create swp-nexthop-test-vm \
    --subnet=SUBNETWORK \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11 \
    --tags=TAGS

다음을 바꿉니다.

  • SUBNETWORK: 웹 프록시에 대해 구성한 서브네트워크
  • ZONE: 테스트 VM 인스턴스의 영역
  • TAGS: Secure Web Proxy 인스턴스와 함께 사용할 태그의 쉼표로 구분된 목록

정책 기반 경로 만들기

정적 라우팅 대신 network-connectivity policy-based-routes create 명령어를 사용하여 정책 기반 경로를 설정할 수 있습니다. 또한 정책 기반 경로를 기본 경로로 만들어야 합니다. 그러면 네트워크 내 가상 머신 (VM) 인스턴스 간의 트래픽에 기본 라우팅이 사용 설정됩니다. 정책 기반 경로가 작동하는 방식에 대한 자세한 내용은 정책 기반 라우팅을 참조하세요.Google Cloud

기본 라우팅을 사용 설정하는 경로의 우선순위는 트래픽을 Secure Web Proxy 인스턴스로 전달하는 정책 기반 경로의 우선순위보다 높아야 합니다(숫자가 더 낮아야 함). 기본 라우팅을 사용 설정하는 경로보다 우선순위가 높은 정책 기반 경로를 만들면 이 경로가 다른 모든 VPC 경로보다 우선 적용됩니다.

다음 예시를 사용하여 트래픽을 Secure Web Proxy 인스턴스로 전달하는 정책 기반 경로를 만듭니다.

gcloud

다음 명령어를 사용하여 정책 기반 경로를 만듭니다.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

다음을 바꿉니다.

  • POLICY_BASED_ROUTE_NAME: 정책 기반 경로의 이름
  • NETWORK_NAME: 네트워크 이름
  • SWP_IP: Secure Web Proxy 인스턴스의 IP 주소
  • DESTINATION_RANGE: 트래픽을 리디렉션할 IP 주소 범위
  • SOURCE_RANGE: 트래픽을 리디렉션할 소스 IP 주소 범위
  • PROJECT: 프로젝트의 ID

이제 다음 단계에 따라 기본 라우팅 정책 기반 경로를 만듭니다.

gcloud

다음 명령어를 사용하여 기본 라우팅 정책 기반 경로를 만듭니다.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

다음을 바꿉니다.

  • DEFAULT_POLICY_BASED_ROUTE_NAME: 정책 기반 경로의 이름
  • NETWORK_NAME: 네트워크 이름
  • DESTINATION_RANGE: 트래픽을 리디렉션할 IP 주소 범위
  • SOURCE_RANGE: 트래픽을 리디렉션할 소스 IP 주소 범위
  • PROJECT: 프로젝트의 ID

배포 후 체크리스트

보안 웹 프록시 인스턴스를 다음 홉으로 사용하여 정적 경로 또는 정책 기반 경로 를 구성한 후 다음 태스크를 완료해야 합니다.

  • 인터넷 게이트웨이의 기본 경로가 있는지 확인합니다.
  • 보안 웹 프록시 인스턴스를 다음 홉으로 가리키는 정적 경로에 올바른 네트워크 태그를 추가합니다.
  • 보안 웹 프록시 인스턴스를 다음 홉으로 가리키는 기본 경로에 적절한 우선순위를 정의합니다.
  • Secure Web Proxy는 리전 서비스이므로 클라이언트 트래픽이 Secure Web Proxy 인스턴스와 동일한 리전에서 발생해야 합니다.

제한사항

  • RoutingModeNEXT_HOP_ROUTING_MODE로 설정된 SecureWebProxy 인스턴스는 HTTP(S) 및 TCP 프록시 트래픽을 지원합니다. 리전 간 트래픽을 비롯한 다른 유형의 트래픽은 알림 없이 삭제됩니다.
  • next-hop-ilb를 사용하는 경우 대상 다음 홉이 Secure Web Proxy 인스턴스인 경우 내부 패스 스루 네트워크 부하 분산기에 적용되는 제한사항이 다음 홉에 적용됩니다. 자세한 내용은 정적 경로의 다음 홉 및 기능 표를 참조하세요.
  • 다음 홉 경로와 일치하는 백그라운드 트래픽 및 업데이트를 포함한 가상 머신 (VM)의 모든 트래픽은 Secure Web Proxy 인스턴스로 라우팅됩니다.
  • 리전의 VPC 네트워크의 경우 다음 홉 (SWPaNH) 인스턴스로 Secure Web Proxy를 하나만 배포할 수 있습니다.