Men-deploy Secure Web Proxy sebagai next hop

Halaman ini memberikan ringkasan tentang cara membuat kebijakan Secure Web Proxy, lalu menjelaskan cara mengonfigurasi perutean next hop untuk instance Secure Web Proxy Anda. Selain itu, halaman ini menjelaskan cara mengonfigurasi baik perutean statis atau perutean berbasis kebijakan untuk next hop Anda.

Secara default, instance SecureWebProxy memiliki nilai RoutingMode EXPLICIT_ROUTING_MODE, yang berarti Anda harus mengonfigurasi workload untuk mengirim traffic HTTP(S) secara eksplisit ke Secure Web Proxy. Daripada mengonfigurasi setiap klien untuk mengarah ke instance Secure Web Proxy, Anda dapat menetapkan RoutingMode instance Secure Web Proxy sebagai NEXT_HOP_ROUTING_MODE, yang memungkinkan Anda menentukan rute yang mengarahkan traffic ke instance Secure Web Proxy.

Mengonfigurasi perutean next hop untuk Secure Web Proxy

Bagian ini menjelaskan langkah-langkah untuk membuat kebijakan Secure Web Proxy dan prosedur untuk men-deploy instance Secure Web Proxy sebagai next hop.

Membuat kebijakan Secure Web Proxy

  1. Selesaikan semua langkah prasyarat yang diperlukan.
  2. Buat kebijakan Secure Web Proxy.
  3. Buat aturan Secure Web Proxy.

Men-deploy instance Secure Web Proxy sebagai next hop

Konsol

  1. Di Google Cloud konsol, buka halaman Web Proxies.

    Buka Web Proxies

  2. Klik Create a secure web proxy.

  3. Masukkan nama untuk proxy web yang ingin Anda buat, seperti myswp.

  4. Masukkan deskripsi proxy web, seperti My new swp.

  5. Untuk Routing mode, pilih opsi Next hop.

  6. Di daftar Regions, pilih region tempat Anda ingin membuat proxy web.

  7. Di daftar Network, pilih jaringan tempat Anda ingin membuat proxy web.

  8. Di daftar Subnetwork, pilih subnetwork tempat Anda ingin membuat proxy web.

  9. Opsional: Masukkan alamat IP Secure Web Proxy. Anda dapat memasukkan alamat IP dari rentang alamat IP Secure Web Proxy yang berada di subnetwork yang Anda buat pada langkah sebelumnya. Jika Anda tidak memasukkan alamat IP, instance Secure Web Proxy akan otomatis memilih alamat IP dari subnetwork yang dipilih.

  10. Di daftar Certificate, pilih sertifikat yang ingin Anda gunakan untuk membuat proxy web.

  11. Di daftar Policy, pilih kebijakan yang Anda buat untuk mengaitkan proxy web.

  12. Klik Create.

Cloud Shell

  1. Buat file gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443, 80]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

  2. Buat instance Secure Web Proxy.

    gcloud network-services gateways import swp1 \
  --source=gateway.yaml \
  --location=REGION

    Instance Secure Web Proxy dapat memerlukan waktu beberapa menit untuk di-deploy.

Membuat rute untuk next hop

Setelah membuat instance Secure Web Proxy, Anda dapat mengonfigurasi baik perutean statis atau perutean berbasis kebijakan untuk next hop:

  • Rute statis mengarahkan traffic dalam jaringan Anda ke instance Secure Web Proxy di region yang sama. Untuk menyiapkan rute statis dengan Secure Web Proxy sebagai next hop, Anda harus mengonfigurasi tag jaringan.
  • Rute berbasis kebijakan memungkinkan Anda mengarahkan traffic ke instance Secure Web Proxy dari rentang alamat IP sumber. Saat mengonfigurasi rute berbasis kebijakan untuk pertama kalinya, Anda juga harus mengonfigurasi rute berbasis kebijakan lain sebagai rute default.

Dua bagian berikut menjelaskan cara membuat rute statis dan rute berbasis kebijakan.

Membuat rute statis

Untuk merutekan traffic ke instance Secure Web Proxy, siapkan rute statis dengan perintah gcloud compute routes create. Anda harus mengaitkan rute statis dengan tag jaringan, dan menggunakan tag jaringan yang sama di semua resource sumber untuk membantu memastikan traffic-nya dialihkan ke instance Secure Web Proxy Anda. Rute statis tidak memungkinkan Anda menentukan rentang alamat IP sumber.

Untuk mengetahui informasi selengkapnya tentang cara kerja rute statis Google Cloud, lihat Rute statis.

gcloud

Gunakan perintah berikut untuk membuat rute statis.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

Ganti kode berikut:

  • STATIC_ROUTE_NAME: nama rute statis Anda
  • NETWORK_NAME: nama jaringan Anda
  • SWP_IP: alamat IP instance SecureWebProxy Anda di subnetwork yang ditentukan dalam file gateway.yaml
  • DESTINATION_RANGE: rentang alamat IP yang ingin Anda alihkan traffic-nya. Misalnya, gunakan 0.0.0.0/0 untuk merutekan semua traffic internet ke instance Secure Web Proxy Anda
  • PRIORITY: prioritas rute Anda; angka yang lebih tinggi menunjukkan prioritas yang lebih rendah. Pastikan prioritas rute Anda secara numerik lebih rendah daripada rute internet default, yang biasanya 1000
  • TAGS: daftar tag yang dipisahkan koma yang akan Anda gunakan dengan instance Secure Web Proxy
  • PROJECT: ID project Anda

Membuat VM di subnet yang sesuai dengan tag jaringan yang ditentukan dalam rute

gcloud compute instances create swp-nexthop-test-vm \
    --subnet=SUBNETWORK \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11 \
    --tags=TAGS

Ganti kode berikut:

  • SUBNETWORK: subnetwork yang Anda konfigurasi untuk proxy web
  • ZONE: zona instance VM pengujian Anda
  • TAGS: daftar tag yang dipisahkan koma yang akan Anda gunakan dengan instance Secure Web Proxy

Membuat rute berbasis kebijakan

Sebagai alternatif untuk perutean statis, Anda dapat menyiapkan rute berbasis kebijakan menggunakan perintah network-connectivity policy-based-routes create. Anda juga perlu membuat rute berbasis kebijakan sebagai rute default, yang mengaktifkan perutean default untuk traffic antara instance mesin virtual (VM) dalam jaringan Anda. Untuk mengetahui informasi selengkapnya tentang cara kerja rute berbasis kebijakan di Google Cloud, lihat Perutean berbasis kebijakan.

Prioritas rute yang mengaktifkan perutean default harus lebih tinggi (secara numerik lebih rendah) daripada prioritas rute berbasis kebijakan yang mengarahkan traffic ke instance Secure Web Proxy. Jika Anda membuat rute berbasis kebijakan dengan prioritas yang lebih tinggi daripada rute yang mengaktifkan perutean default, rute tersebut akan diprioritaskan daripada semua rute VPC lainnya.

Gunakan contoh berikut untuk membuat rute berbasis kebijakan yang mengarahkan traffic ke instance Secure Web Proxy Anda.

gcloud

Gunakan perintah berikut untuk membuat rute berbasis kebijakan.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

Ganti kode berikut:

  • POLICY_BASED_ROUTE_NAME: nama rute berbasis kebijakan Anda
  • NETWORK_NAME: nama jaringan Anda
  • SWP_IP: alamat IP instance Secure Web Proxy Anda
  • DESTINATION_RANGE: rentang alamat IP yang ingin Anda alihkan traffic-nya
  • SOURCE_RANGE: rentang alamat IP yang ingin Anda alihkan traffic-nya
  • PROJECT: ID project Anda

Selanjutnya, gunakan langkah-langkah berikut untuk membuat rute berbasis kebijakan perutean default.

gcloud

Gunakan perintah berikut untuk membuat rute berbasis kebijakan perutean default.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

Ganti kode berikut:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: nama rute berbasis kebijakan Anda
  • NETWORK_NAME: nama jaringan Anda
  • DESTINATION_RANGE: rentang alamat IP yang ingin Anda alihkan traffic-nya
  • SOURCE_RANGE: rentang alamat IP yang ingin Anda alihkan traffic-nya
  • PROJECT: ID project Anda

Checklist pasca-deployment

Pastikan Anda menyelesaikan tugas berikut setelah mengonfigurasi rute statis atau rute berbasis kebijakan dengan instance Secure Web Proxy sebagai next hop:

  • Konfirmasi bahwa ada rute default ke gateway internet.
  • Tambahkan tag jaringan yang benar ke rute statis yang mengarah ke instance Secure Web Proxy Anda sebagai next hop.
  • Tentukan prioritas yang sesuai untuk rute default ke instance Secure Web Proxy Anda sebagai next hop.
  • Karena Secure Web Proxy adalah layanan regional, pastikan traffic klien berasal dari region yang sama dengan instance Secure Web Proxy Anda.

Batasan

  • Instance SecureWebProxy dengan RoutingMode yang ditetapkan sebagai NEXT_HOP_ROUTING_MODE mendukung traffic proxy HTTP(S) dan TCP. Jenis traffic lainnya, termasuk traffic lintas region, akan dihentikan tanpa notifikasi.
  • Saat Anda menggunakan next-hop-ilb, batasan yang berlaku untuk Load Balancer Jaringan passthrough internal berlaku untuk next hop jika next hop tujuan adalah instance Secure Web Proxy. Untuk mengetahui informasi selengkapnya, lihat tabel next hop dan fitur untuk rute statis.
  • Semua traffic dari mesin virtual (VM), termasuk traffic dan update latar belakang, yang cocok dengan rute next hop Anda akan dirutekan ke instance Secure Web Proxy Anda.
  • Untuk jaringan VPC di suatu region, Anda hanya dapat men-deploy satu instance Secure Web Proxy sebagai next hop (SWPaNH).