Esegui il deployment di Secure Web Proxy come hop successivo

Questa pagina fornisce una panoramica su come creare una policy di Secure Web Proxy e spiega come configurare il routing dell'hop successivo per l'istanza di Secure Web Proxy. Inoltre, questa pagina descrive come configurare il routing statico o il routing basato su policy per l'hop successivo.

Per impostazione predefinita, le istanze SecureWebProxy hanno un valore RoutingMode di EXPLICIT_ROUTING_MODE, il che significa che devi configurare i carichi di lavoro per inviare esplicitamente il traffico HTTP(S) a Secure Web Proxy. Anziché configurare i singoli client in modo che puntino all'istanza di Secure Web Proxy, puoi impostare RoutingMode dell'istanza di Secure Web Proxy su NEXT_HOP_ROUTING_MODE, che ti consente di definire le route che indirizzano il traffico all'istanza di Secure Web Proxy.

Quando esegui il deployment dell'istanza di Secure Web Proxy come hop successivo, puoi abilitare il gateway in modo che sia in ascolto su tutte le porte (da 1 a 65535), semplificando la configurazione per gli ambienti dinamici o i servizi che utilizzano più porte.

Configurare il routing dell'hop successivo per Secure Web Proxy

Questa sezione descrive i passaggi per creare una policy di Secure Web Proxy e la procedura per eseguire il deployment dell'istanza di Secure Web Proxy come hop successivo.

Creare una policy di Secure Web Proxy

  1. Completa tutti i passaggi dei prerequisiti richiesti.
  2. Crea una policy di Secure Web Proxy.
  3. Crea regole di Secure Web Proxy.

Eseguire il deployment dell'istanza di Secure Web Proxy come hop successivo

Console

  1. Nella Google Cloud console, vai alla pagina Proxy web.

    Vai a Proxy web

  2. Fai clic su Crea un proxy web sicuro.

  3. Inserisci un nome per il proxy web che vuoi creare, ad esempio myswp.

  4. Inserisci una descrizione del proxy web, ad esempio My new swp.

  5. Per Modalità di routing, seleziona l'opzione Hop successivo.

  6. Nell'elenco Regioni, seleziona la regione in cui vuoi creare il proxy web.

  7. Nell'elenco Rete, seleziona la rete in cui vuoi creare il proxy web.

  8. Nell'elenco Subnet, seleziona la subnet in cui vuoi creare il proxy web.

  9. (Facoltativo) Inserisci l'indirizzo IP di Secure Web Proxy. Puoi inserire un indirizzo IP dall'intervallo di indirizzi IP di Secure Web Proxy che si trovano nella subnet creata nel passaggio precedente. Se non inserisci l'indirizzo IP, l'istanza di Secure Web Proxy sceglie automaticamente un indirizzo IP dalla subnet selezionata.

  10. Nell'elenco Certificato, seleziona il certificato che vuoi utilizzare per creare il proxy web.

  11. Nell'elenco Policy, seleziona la policy che hai creato per associare il proxy web.

  12. Fai clic su Crea.

Cloud Shell

  1. Utilizza un editor di testo per creare un file gateway.yaml.

  2. Aggiungi il seguente codice al file gateway.yaml:

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
    type: SECURE_WEB_GATEWAY
    addresses: ["IP_ADDRESS"]
    ports: [443, 80]
    gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    network: projects/PROJECT_ID/global/networks/NETWORK
    subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
    routingMode: NEXT_HOP_ROUTING_MODE
    

    Facoltativo: per configurare il gateway in modo che sia in ascolto su tutte le porte (da 1 a 65535), aggiungi il campo all_ports nel file gateway.yaml e impostalo su true. Questa funzionalità è supportata in anteprima.

    Per informazioni sulle limitazioni relative all'utilizzo della funzionalità all_ports, consulta Limitazioni.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
    type: SECURE_WEB_GATEWAY
    addresses: ["IP_ADDRESS"]
    all_ports: true
    gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    network: projects/PROJECT_ID/global/networks/NETWORK
    subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
    routingMode: NEXT_HOP_ROUTING_MODE
    

    Facoltativo: per consentire alle applicazioni client di altre Google Cloud regioni di connettersi al proxy, abilita l'accesso globale quando crei l'istanza di Secure Web Proxy.

    Nel file gateway.yaml, aggiungi il campo allow_global_access e impostalo su true.

    Importante: puoi abilitare allow_global_access solo quando crei un'istanza di Secure Web Proxy. Non puoi configurare questa impostazione in un secondo momento.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
    type: SECURE_WEB_GATEWAY
    addresses: ["IP_ADDRESS"]
    ports: [443, 80]
    gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    network: projects/PROJECT_ID/global/networks/NETWORK
    subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
    routingMode: NEXT_HOP_ROUTING_MODE
    allow_global_access: true
    
  3. Crea un'istanza di Secure Web Proxy.

    gcloud network-services gateways import swp1 \
    --source=gateway.yaml \
    --location=REGION
    

    Il deployment di un'istanza di Secure Web Proxy può richiedere diversi minuti.

Creare route per l'hop successivo

Dopo aver creato un'istanza di Secure Web Proxy, puoi configurare il routing statico o il routing basato su policy per l'hop successivo:

  • Le route statiche indirizzano il traffico all'interno della rete all'istanza di Secure Web Proxy nella stessa regione. Per configurare una route statica con il tuo Secure Web Proxy come hop successivo, devi configurare i tag di rete.
  • Le route basate su policy ti consentono di indirizzare il traffico all'istanza di Secure Web Proxy da un intervallo di indirizzi IP di origine. Quando configuri una route basata su policy per la prima volta, devi configurare anche un'altra route basata su policy come route predefinita.

Le due sezioni seguenti spiegano come creare route statiche e route basate su policy.

Creare route statiche

Per instradare il traffico all'istanza di Secure Web Proxy, configura una route statica con il comando gcloud compute routes create. Devi associare la route statica a un tag di rete e utilizzare lo stesso tag di rete su tutte le risorse di origine per assicurarti che il loro traffico venga reindirizzato all'istanza di Secure Web Proxy. Le route statiche non consentono di definire un intervallo di indirizzi IP di origine.

Per ulteriori informazioni sul funzionamento delle route statiche in Google Cloud, consulta Route statiche.

gcloud

Utilizza il seguente comando per creare una route statica.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT
 

Sostituisci quanto segue:

  • STATIC_ROUTE_NAME: nome della route statica
  • NETWORK_NAME: nome della rete
  • SWP_IP: indirizzo IP dell'istanza SecureWebProxy nella subnet specificata nel file gateway.yaml
  • DESTINATION_RANGE: intervallo di indirizzi IP a cui vuoi reindirizzare il traffico. Ad esempio, utilizza 0.0.0.0/0 per instradare tutto il traffico internet all'istanza di Secure Web Proxy
  • PRIORITY: priorità della route; i numeri più alti indicano una priorità più bassa. Assicurati che la priorità della route sia numericamente inferiore alla route internet predefinita, che in genere è 1000
  • TAGS: elenco di tag separati da virgole che utilizzerai con l'istanza di Secure Web Proxy
  • PROJECT: ID del progetto

Crea una VM nella subnet appropriata con i tag di rete specificati nella route

gcloud compute instances create swp-nexthop-test-vm \
    --subnet=SUBNETWORK \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11 \
    --tags=TAGS

Sostituisci quanto segue:

  • SUBNETWORK: subnet che hai configurato per il proxy web
  • ZONE: zona dell'istanza VM di test
  • TAGS: elenco di tag separati da virgole che utilizzerai con l'istanza di Secure Web Proxy

Creare route basate su policy

In alternativa al routing statico, puoi configurare una route basata su policy utilizzando il comando network-connectivity policy-based-routes create. Devi anche creare una route basata su policy come route predefinita, che abilita il routing predefinito per il traffico tra le istanze di macchine virtuali (VM) all'interno della rete. Per ulteriori informazioni sul funzionamento delle route basate su policy in Google Cloud, consulta Routing basato su policy.

La priorità della route che abilita il routing predefinito deve essere superiore (numericamente inferiore) alla priorità della route basata su policy che indirizza il traffico all'istanza di Secure Web Proxy. Se crei la route basata su policy con una priorità superiore alla route che abilita il routing predefinito, questa ha la priorità su tutte le altre route VPC.

Utilizza l'esempio seguente per creare una route basata su policy che indirizza il traffico all'istanza di Secure Web Proxy.

gcloud

Utilizza il seguente comando per creare la route basata su policy.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT
 

Sostituisci quanto segue:

  • POLICY_BASED_ROUTE_NAME: nome della route basata su policy
  • NETWORK_NAME: nome della rete
  • SWP_IP: indirizzo IP dell'istanza di Secure Web Proxy
  • DESTINATION_RANGE: intervallo di indirizzi IP a cui vuoi reindirizzare il traffico
  • SOURCE_RANGE: intervallo di indirizzi IP da cui vuoi reindirizzare il traffico
  • PROJECT: ID del progetto

Poi, segui questi passaggi per creare la route basata su policy di routing predefinito.

gcloud

Utilizza il seguente comando per creare la route basata su policy di routing predefinito.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT
 

Sostituisci quanto segue:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: nome della route basata su policy
  • NETWORK_NAME: nome della rete
  • DESTINATION_RANGE: intervallo di indirizzi IP a cui vuoi reindirizzare il traffico
  • SOURCE_RANGE: intervallo di indirizzi IP da cui vuoi reindirizzare il traffico
  • PROJECT: ID del progetto

Elenco di controllo post-deployment

Assicurati di completare le seguenti attività dopo aver configurato una route statica o una route basata su policy con l'istanza di Secure Web Proxy come hop successivo:

Limitazioni

  • Le istanze SecureWebProxy con RoutingMode impostato su NEXT_HOP_ROUTING_MODE supportano il traffico proxy HTTP(S) e TCP. Altri tipi di traffico, incluso il traffico tra regioni, vengono eliminati senza notifica.
  • Quando utilizzi next-hop-ilb, le limitazioni che si applicano ai bilanciatori del carico di rete passthrough interni si applicano agli hop successivi se l'hop successivo di destinazione è un'istanza di Secure Web Proxy. Per ulteriori informazioni, consulta le tabelle degli hop successivi e delle funzionalità per le route statiche.
  • Tutto il traffico delle macchine virtuali (VM), inclusi il traffico in background e gli aggiornamenti, che corrisponde alla route dell'hop successivo verrà instradato all'istanza di Secure Web Proxy.
  • Per una rete VPC in una regione, puoi eseguire il deployment di una sola istanza di Secure Web Proxy come hop successivo (SWPaNH).
  • Quando utilizzi la funzionalità all_ports, si applicano le seguenti limitazioni:
    • La funzionalità all_ports è applicabile solo ai gateway con type: SECURE_WEB_GATEWAY.
    • Puoi utilizzare la configurazione all_ports: true solo quando routingMode è impostato su NEXT_HOP_ROUTING_MODE.
    • Non puoi specificare sia la configurazione all_ports: true sia elencare le singole porte nel campo delle porte per la stessa risorsa gateway. Devi utilizzare un solo tipo di configurazione della porta, non entrambi.
    • All'interno di una determinata rete e regione, non puoi eseguire contemporaneamente il deployment di un'istanza di Secure Web Proxy in modalità hop successivo con la configurazione all_ports: true e di un'altra istanza di Secure Web Proxy in qualsiasi altra modalità.