Implantar o Secure Web Proxy como próximo salto

Esta página oferece uma visão geral de como criar uma política do Secure Web Proxy e explica como configurar o roteamento do próximo salto para a instância do Secure Web Proxy. Além disso, esta página descreve como configurar o roteamento estático ou roteamento com base na política para o próximo salto.

Por padrão, as instâncias SecureWebProxy têm um valor RoutingMode de EXPLICIT_ROUTING_MODE, o que significa que você precisa configurar suas cargas de trabalho para enviar explicitamente o tráfego HTTP(S) para o Secure Web Proxy. Em vez de configurar clientes individuais para apontar para a instância do Secure Web Proxy, você pode definir o RoutingMode da instância do Secure Web Proxy como NEXT_HOP_ROUTING_MODE, que permite definir rotas que direcionam o tráfego para a instância do Secure Web Proxy.

Ao implantar a instância do Secure Web Proxy como próximo salto, é possível ativar o gateway para detectar todas as portas (de 1 a 65535), simplificando a configuração para ambientes dinâmicos ou serviços que usam várias portas.

Configurar o roteamento do próximo salto para o Secure Web Proxy

Esta seção descreve as etapas para criar uma política do Secure Web Proxy e o procedimento para implantar a instância do Secure Web Proxy como próximo salto.

Criar uma política do Secure Web Proxy

  1. Conclua todas as etapas de pré-requisito necessárias.
  2. Crie uma política do Secure Web Proxy.
  3. Crie regras do Secure Web Proxy.

Implantar a instância do Secure Web Proxy como próximo salto

Console

  1. No Google Cloud console, acesse a página Proxies da Web.

    Acessar proxies da Web

  2. Clique em Criar um proxy da Web seguro.

  3. Insira um nome para o proxy da Web que você quer criar, como myswp.

  4. Insira uma descrição do proxy da Web, como My new swp.

  5. Em Modo de roteamento, selecione a opção Próximo salto.

  6. Na lista Regiões, selecione a região em que você quer criar o proxy da Web.

  7. Na lista Rede, selecione a rede em que você quer criar o proxy da Web.

  8. Na lista Sub-rede, selecione a sub-rede em que você quer criar o proxy da Web.

  9. Opcional: insira o endereço IP do Secure Web Proxy. É possível inserir um endereço IP do intervalo de endereços IP do Secure Web Proxy que reside na sub-rede criada na etapa anterior. Se você não inserir o endereço IP, a instância do Secure Web Proxy vai escolher automaticamente um endereço IP da sub-rede selecionada.

  10. Na lista Certificado, selecione o certificado que você quer usar para criar o proxy da Web.

  11. Na lista Política, selecione a política criada para associar o proxy da Web.

  12. Clique em Criar.

Cloud Shell

  1. Crie o arquivo gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443, 80]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

    Opcional: para configurar o gateway para detectar todas as portas (de 1 a 65535), adicione o campo all_ports no arquivo gateway.yaml e defina-o como true. Esse recurso é compatível com a versão prévia .

    Para informações sobre as limitações relacionadas ao uso do recurso all_ports, consulte Limitações.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
all_ports: true
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

  2. Crie uma instância do Secure Web Proxy.

    gcloud network-services gateways import swp1 \
  --source=gateway.yaml \
  --location=REGION

    A implantação de uma instância do Secure Web Proxy pode levar vários minutos.

Criar rotas para o próximo salto

Depois de criar uma instância do proxy seguro da Web, é possível configurar o roteamento estático ou com base em políticas para o próximo salto:

  • As rotas estáticas direcionam o tráfego na sua rede para a instância do Secure Web Proxy na mesma região. Para configurar uma rota estática com o Secure Web Proxy como próximo salto, é necessário configurar tags de rede.
  • As rotas com base em políticas permitem direcionar o tráfego para a instância do Secure Web Proxy de um intervalo de endereços IP de origem. Ao configurar uma rota com base em políticas pela primeira vez, também é necessário configurar outra rota com base em políticas para ser a rota padrão.

As duas seções a seguir explicam como criar rotas estáticas e rotas com base em políticas.

Criar rotas estáticas

Para rotear o tráfego para a instância do Secure Web Proxy, configure uma rota estática com o comando gcloud compute routes create. É necessário associar a rota estática a uma tag de rede e usar a mesma tag de rede em todos os recursos de origem para garantir que o tráfego seja redirecionado para a instância do Secure Web Proxy. As rotas estáticas não permitem definir um intervalo de endereços IP de origem.

Para mais informações sobre como as rotas estáticas funcionam em Google Cloud, consulte Rotas estáticas.

gcloud

Use o comando a seguir para criar uma rota estática.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

Substitua:

  • STATIC_ROUTE_NAME: nome da rota estática
  • NETWORK_NAME: nome da rede
  • SWP_IP: endereço IP da instância SecureWebProxy na sub-rede especificada no arquivo gateway.yaml
  • DESTINATION_RANGE: intervalo de endereços IP para o qual você quer redirecionar o tráfego. Por exemplo, use 0.0.0.0/0 para rotear todo o tráfego da Internet para a instância do Secure Web Proxy
  • PRIORITY: prioridade da rota. Números mais altos indicam uma prioridade mais baixa. Verifique se a prioridade da rota é numericamente menor que a rota padrão da Internet, que normalmente é 1000
  • TAGS: lista separada por vírgulas de tags que você usará com a instância do Secure Web Proxy
  • PROJECT: ID do projeto

Criar uma VM na sub-rede apropriada com tags de rede especificadas na rota

gcloud compute instances create swp-nexthop-test-vm \
    --subnet=SUBNETWORK \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11 \
    --tags=TAGS

Substitua:

  • SUBNETWORK: sub-rede configurada para o proxy da Web
  • ZONE: zona da instância de VM de teste
  • TAGS: lista separada por vírgulas de tags que você usará com a instância do Secure Web Proxy

Criar rotas com base em políticas

Como alternativa ao roteamento estático, é possível configurar uma rota com base em políticas usando o comando network-connectivity policy-based-routes create. Também é necessário criar uma rota com base em políticas para ser a rota padrão, o que ativa o roteamento padrão para o tráfego entre instâncias de máquina virtual (VMs) na rede. Para mais informações sobre como o roteamento com base na política funciona em Google Cloud, consulte Roteamento com base na política.

A prioridade da rota que ativa o roteamento padrão precisa ser maior (numericamente menor) que a prioridade da rota com base em políticas que direciona o tráfego para a instância do Secure Web Proxy. Se você criar a rota com base em políticas com uma prioridade maior que a rota que ativa o roteamento padrão, ela terá prioridade sobre todas as outras rotas da VPC.

Use o exemplo a seguir para criar uma rota com base em políticas que direciona o tráfego para a instância do Secure Web Proxy.

gcloud

Use o comando a seguir para criar a rota com base em políticas.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

Substitua:

  • POLICY_BASED_ROUTE_NAME: nome da rota com base em políticas
  • NETWORK_NAME: nome da rede
  • SWP_IP: endereço IP da instância do Secure Web Proxy
  • DESTINATION_RANGE: intervalo de endereços IP para o qual você quer redirecionar o tráfego
  • SOURCE_RANGE: intervalo de endereços IP de onde você quer redirecionar o tráfego
  • PROJECT: ID do projeto

Em seguida, use as etapas a seguir para criar a rota com base em políticas de roteamento padrão.

gcloud

Use o comando a seguir para criar a rota com base em políticas de roteamento padrão.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

Substitua:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: nome da rota com base em políticas
  • NETWORK_NAME: nome da rede
  • DESTINATION_RANGE: intervalo de endereços IP para o qual você quer redirecionar o tráfego
  • SOURCE_RANGE: intervalo de endereços IP de onde você quer redirecionar o tráfego
  • PROJECT: ID do projeto

Lista de verificação pós-implantação

Confira se você concluiu as tarefas a seguir depois de configurar uma rota estática ou uma rota com base em políticas com a instância do Secure Web Proxy como próximo salto:

  • Confirme se há uma rota padrão para o gateway da Internet.
  • Adicione a tag de rede correta network tag à rota estática que aponta para a instância do Secure Web Proxy como próximo salto.
  • Defina uma prioridade adequada para a rota padrão para a instância do Secure Web Proxy como próximo salto.
  • Como o Secure Web Proxy é um serviço regional, verifique se o tráfego do cliente se origina na mesma região que a instância do Secure Web Proxy.

Limitações

  • As instâncias SecureWebProxy com RoutingMode definido como NEXT_HOP_ROUTING_MODE oferecem suporte a tráfego de proxy HTTP(S) e TCP. Outros tipos de tráfego, incluindo o tráfego entre regiões, são descartados sem notificação.
  • Ao usar next-hop-ilb, as limitações que se aplicam aos balanceadores de carga de rede de passagem interna se aplicam aos próximos saltos se o próximo salto de destino for uma instância do Secure Web Proxy. Para mais informações, consulte as tabelas de próximos saltos e recursos para rotas estáticas.
  • Todo o tráfego de máquinas virtuais (VMs), incluindo tráfego e atualizações em segundo plano, que a rota do próximo salto corresponder será roteado para a instância do Secure Web Proxy.
  • Para uma rede VPC em uma região, é possível implantar apenas uma instância do Secure Web Proxy como próximo salto (SWPaNH).
  • Ao usar o recurso all_ports, as seguintes limitações se aplicam:
    • O recurso all_ports é aplicável apenas a gateways com type: SECURE_WEB_GATEWAY.
    • É possível usar a configuração all_ports: true somente quando routingMode estiver definido como NEXT_HOP_ROUTING_MODE.
    • Não é possível especificar a configuração all_ports: true e listar portas individuais no campo de portas para o mesmo recurso de gateway. É necessário usar apenas um tipo de configuração de porta, não ambos.
    • Em uma determinada rede e região, não é possível implantar simultaneamente uma instância do Secure Web Proxy no modo de próximo salto com a configuração all_ports: true e outra instância do Secure Web Proxy em qualquer outro modo.