Secure Web Proxy als nächsten Hop bereitstellen

Auf dieser Seite finden Sie eine Übersicht zum Erstellen einer Secure Web Proxy-Richtlinie und eine Anleitung zum Konfigurieren des Next-Hop-Routings für Ihre Secure Web Proxy-Instanz. Außerdem wird beschrieben, wie Sie entweder statisches Routing oder richtlinienbasiertes Routing für Ihren nächsten Hop konfigurieren.

Standardmäßig haben SecureWebProxy-Instanzen den RoutingMode-Wert EXPLICIT_ROUTING_MODE. Das bedeutet, dass Sie Ihre Arbeitslasten so konfigurieren müssen, dass sie HTTP(S)-Traffic explizit an Secure Web Proxy senden. Anstatt einzelne Clients so zu konfigurieren, dass sie auf Ihre Secure Web Proxy-Instanz verweisen, können Sie den RoutingMode Ihrer Secure Web Proxy-Instanz auf NEXT_HOP_ROUTING_MODE festlegen. So können Sie Routen definieren, die Traffic an Ihre Secure Web Proxy-Instanz weiterleiten.

Wenn Sie Ihre Secure Web Proxy-Instanz als nächsten Hop bereitstellen, können Sie das Gateway so konfigurieren, dass es auf allen Ports (von 1 bis 65535) lauscht. Dadurch wird die Konfiguration für dynamische Umgebungen oder Dienste vereinfacht, die mehrere Ports verwenden.

Next-Hop-Routing für Secure Web Proxy konfigurieren

In diesem Abschnitt werden die Schritte zum Erstellen einer Secure Web Proxy-Richtlinie und die Vorgehensweise zum Bereitstellen Ihrer Secure Web Proxy-Instanz als nächsten Hop beschrieben.

Secure Web Proxy-Richtlinie erstellen

  1. Führen Sie alle erforderlichen Schritte für die Voraussetzungen aus.
  2. Erstellen Sie eine Secure Web Proxy-Richtlinie.
  3. Erstellen Sie Secure Web Proxy-Regeln.

Secure Web Proxy-Instanz als nächsten Hop bereitstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Web-Proxys auf.

    Zu Web-Proxys

  2. Klicken Sie auf Sicheren Web-Proxy erstellen.

  3. Geben Sie einen Namen für den Web-Proxy ein, den Sie erstellen möchten, z. B. myswp.

  4. Geben Sie eine Beschreibung des Web-Proxys ein, z. B. My new swp.

  5. Wählen Sie unter Routingmodus die Option Nächster Hop aus.

  6. Wählen Sie in der Liste Regionen die Region aus, in der Sie den Web-Proxy erstellen möchten.

  7. Wählen Sie in der Liste Netzwerk das Netzwerk aus, in dem Sie den Web-Proxy erstellen möchten.

  8. Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, in dem Sie den Web-Proxy erstellen möchten.

  9. Optional: Geben Sie die IP-Adresse des sicheren Web-Proxys ein. Sie können eine IP-Adresse aus dem Bereich der IP-Adressen des sicheren Web-Proxys eingeben, die sich im Subnetzwerk befinden, das Sie im vorherigen Schritt erstellt haben. Wenn Sie die IP-Adresse nicht eingeben, wählt Ihre Secure Web Proxy-Instanz automatisch eine IP-Adresse aus dem ausgewählten Subnetzwerk aus.

  10. Wählen Sie in der Liste Zertifikat das Zertifikat aus, das Sie zum Erstellen des Web-Proxys verwenden möchten.

  11. Wählen Sie in der Liste Richtlinie die Richtlinie aus, die Sie dem Web-Proxy zuordnen möchten.

  12. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie mit einem Texteditor eine gateway.yaml-Datei.

  2. Fügen Sie der Datei gateway.yaml den folgenden Code hinzu:

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
    type: SECURE_WEB_GATEWAY
    addresses: ["IP_ADDRESS"]
    ports: [443, 80]
    gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    network: projects/PROJECT_ID/global/networks/NETWORK
    subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
    routingMode: NEXT_HOP_ROUTING_MODE
    

    Optional: Wenn Sie das Gateway so konfigurieren möchten, dass es auf allen Ports (von 1 bis 65535) lauscht, fügen Sie das Feld all_ports in der Datei gateway.yaml hinzu und legen Sie es auf true fest. Dieses Feature wird in Vorschaumodus unterstützt.

    Informationen zu den Einschränkungen bei der Verwendung des Features all_ports finden Sie unter Einschränkungen.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
    type: SECURE_WEB_GATEWAY
    addresses: ["IP_ADDRESS"]
    all_ports: true
    gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    network: projects/PROJECT_ID/global/networks/NETWORK
    subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
    routingMode: NEXT_HOP_ROUTING_MODE
    

    Optional: Wenn Sie zulassen möchten, dass Clientanwendungen aus anderen Google Cloud Regionen eine Verbindung zu Ihrem Proxy herstellen, aktivieren Sie beim Erstellen Ihrer Secure Web Proxy-Instanz den globalen Zugriff.

    Fügen Sie in der Datei gateway.yaml das Feld allow_global_access hinzu und legen Sie es auf true fest.

    Wichtig: Sie können allow_global_access nur aktivieren, wenn Sie eine Secure Web Proxy-Instanz erstellen. Diese Einstellung kann später nicht mehr konfiguriert werden.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
    type: SECURE_WEB_GATEWAY
    addresses: ["IP_ADDRESS"]
    ports: [443, 80]
    gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    network: projects/PROJECT_ID/global/networks/NETWORK
    subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
    routingMode: NEXT_HOP_ROUTING_MODE
    allow_global_access: true
    
  3. Erstellen Sie eine Secure Web Proxy-Instanz.

    gcloud network-services gateways import swp1 \
    --source=gateway.yaml \
    --location=REGION
    

    Die Bereitstellung einer Secure Web Proxy-Instanz kann einige Minuten dauern.

Routen für den nächsten Hop erstellen

Nachdem Sie eine Secure Web Proxy-Instanz erstellt haben, können Sie entweder statisches Routing oder richtlinienbasiertes Routing für Ihren nächsten Hop konfigurieren:

  • Statische Routen leiten den Traffic in Ihrem Netzwerk an Ihre Secure Web Proxy-Instanz in derselben Region weiter. Wenn Sie eine statische Route mit Ihrem sicheren Web-Proxy als nächsten Hop einrichten möchten, müssen Sie Netzwerk-Tagskonfigurieren.
  • Mit richtlinienbasierten Routen können Sie Traffic von einem Quell-IP-Adressbereich an Ihre Secure Web Proxy-Instanz weiterleiten. Wenn Sie zum ersten Mal eine richtlinienbasierte Route konfigurieren, müssen Sie auch eine andere richtlinienbasierte Route als Standardroute konfigurieren.

In den folgenden beiden Abschnitten wird beschrieben, wie Sie statische und richtlinienbasierte Routen erstellen.

Statische Routen erstellen

Wenn Sie Traffic an Ihre Secure Web Proxy-Instanz weiterleiten möchten, richten Sie eine statische Route mit dem Befehl gcloud compute routes create ein. Sie müssen die statische Route mit einem Netzwerk-Tag verknüpfen und dasselbe Netzwerk-Tag für alle Ihre Quellressourcen verwenden, damit ihr Traffic an Ihre Secure Web Proxy-Instanz weitergeleitet wird. Mit statischen Routen können Sie keinen Quell-IP-Adressbereich definieren.

Weitere Informationen zur Funktionsweise statischer Routen in Google Cloudfinden Sie unter Statische Routen.

gcloud

Verwenden Sie den folgenden Befehl, um eine statische Route zu erstellen.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT
 

Ersetzen Sie Folgendes:

  • STATIC_ROUTE_NAME: Name Ihrer statischen Route
  • NETWORK_NAME: Name Ihres Netzwerks
  • SWP_IP: IP-Adresse Ihrer SecureWebProxy-Instanz im Subnetzwerk, das in der Datei gateway.yaml angegeben ist
  • DESTINATION_RANGE: Bereich der IP-Adressen, an die Sie den Traffic weiterleiten möchten. Verwenden Sie beispielsweise 0.0.0.0/0, um den gesamten Internet-Traffic an Ihre Secure Web Proxy-Instanz weiterzuleiten.
  • PRIORITY: Priorität Ihrer Route. Höhere Zahlen stehen für eine niedrigere Priorität. Die Priorität Ihrer Route muss numerisch niedriger sein als die der Standard-Internetroute, die in der Regel 1000 ist.
  • TAGS: durch Kommas getrennte Liste von Tags, die Sie mit Ihrer Secure Web Proxy-Instanz verwenden
  • PROJECT: ID Ihres Projekts

VM im entsprechenden Subnetzwerk mit in der Route angegebenen Netzwerk-Tags erstellen

gcloud compute instances create swp-nexthop-test-vm \
    --subnet=SUBNETWORK \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11 \
    --tags=TAGS

Ersetzen Sie Folgendes:

  • SUBNETWORK: Subnetzwerk, das Sie für den Web-Proxy konfiguriert haben
  • ZONE: Zone Ihrer Test-VM-Instanz
  • TAGS: durch Kommas getrennte Liste von Tags, die Sie mit Ihrer Secure Web Proxy-Instanz verwenden

Richtlinienbasierte Routen erstellen

Alternativ zum statischen Routing können Sie eine richtlinienbasierte Route mit dem Befehl network-connectivity policy-based-routes create einrichten. Sie müssen auch eine richtlinienbasierte Route als Standardroute erstellen, die das Standardrouting für den Traffic zwischen VM-Instanzen (Virtual Machine) in Ihrem Netzwerk ermöglicht. Weitere Informationen zur Funktionsweise richtlinienbasierter Routen in Google Cloudfinden Sie unter Richtlinienbasiertes Routing.

Die Priorität der Route, die das Standardrouting ermöglicht, muss höher (numerisch niedriger) sein als die Priorität der richtlinienbasierten Route, die Traffic an die Secure Web Proxy-Instanz weiterleitet. Wenn Sie die richtlinienbasierte Route mit einer höheren Priorität als die Route erstellen, die das Standardrouting ermöglicht, hat sie Vorrang vor allen anderen VPC-Routen.

Verwenden Sie das folgende Beispiel, um eine richtlinienbasierte Route zu erstellen, die Traffic an Ihre Secure Web Proxy-Instanz weiterleitet.

gcloud

Verwenden Sie den folgenden Befehl, um die richtlinienbasierte Route zu erstellen.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT
 

Ersetzen Sie Folgendes:

  • POLICY_BASED_ROUTE_NAME: Name Ihrer richtlinienbasierten Route
  • NETWORK_NAME: Name Ihres Netzwerks
  • SWP_IP: IP-Adresse Ihrer Secure Web Proxy-Instanz
  • DESTINATION_RANGE: Bereich der IP-Adressen, an die Sie den Traffic weiterleiten möchten
  • SOURCE_RANGE: Bereich der IP-Adressen, von denen Sie den Traffic weiterleiten möchten
  • PROJECT: ID Ihres Projekts

Führen Sie als Nächstes die folgenden Schritte aus, um die richtlinienbasierte Standardroutingroute zu erstellen.

gcloud

Verwenden Sie den folgenden Befehl, um die richtlinienbasierte Standardroutingroute zu erstellen.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT
 

Ersetzen Sie Folgendes:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: Name Ihrer richtlinienbasierten Route
  • NETWORK_NAME: Name Ihres Netzwerks
  • DESTINATION_RANGE: Bereich der IP-Adressen, an die Sie den Traffic weiterleiten möchten
  • SOURCE_RANGE: Bereich der IP-Adressen, von denen Sie den Traffic weiterleiten möchten
  • PROJECT: ID Ihres Projekts

Checkliste nach der Bereitstellung

Achten Sie darauf, dass Sie die folgenden Aufgaben ausführen, nachdem Sie entweder eine statische Route oder eine richtlinienbasierte Route mit Ihrer Secure Web Proxy-Instanz als nächsten Hop konfiguriert haben:

  • Prüfen Sie, ob eine Standardroute zum Internetgateway vorhanden ist.
  • Fügen Sie der statischen Route, die auf Ihre Secure Web Proxy-Instanz als nächsten Hop verweist, das richtige Netzwerk-Tag hinzu.
  • Definieren Sie eine geeignete Priorität für die Standardroute zu Ihrer Secure Web Proxy-Instanz als nächsten Hop.
  • Da Secure Web Proxy ein regionaler Dienst ist, muss der Client-Traffic aus derselben Region wie Ihre Secure Web Proxy-Instanz stammen.

Beschränkungen

  • SecureWebProxy -Instanzen, bei denen RoutingMode auf NEXT_HOP_ROUTING_MODE festgelegt ist, unterstützen HTTP(S)- und TCP-Proxy-Traffic. Andere Arten von Traffic, einschließlich regionenübergreifendem Traffic, werden ohne Benachrichtigung verworfen.
  • Wenn Sie next-hop-ilb verwenden, gelten die Einschränkungen für interne Passthrough-Network-Load-Balancer für nächste Hops, wenn der nächste Hop eine Secure Web Proxy-Instanz ist. Weitere Informationen finden Sie in den Tabellen zu nächsten Hops und Funktionen für statische Routen.
  • Der gesamte Traffic von VMs, einschließlich Hintergrund-Traffic und Updates, der mit Ihrer Next-Hop-Route übereinstimmt, wird an Ihre Secure Web Proxy-Instanz weitergeleitet.
  • Für ein VPC-Netzwerk in einer Region können Sie nur eine Secure Web Proxy-Instanz als nächsten Hop (SWPaNH) bereitstellen.
  • Wenn Sie das Feature all_ports verwenden, gelten die folgenden Einschränkungen:
    • Das Feature all_ports gilt nur für Gateways mit type: SECURE_WEB_GATEWAY.
    • Sie können die Konfiguration all_ports: true nur verwenden, wenn routingMode auf NEXT_HOP_ROUTING_MODE festgelegt ist.
    • Sie können nicht gleichzeitig die Konfiguration all_ports: true verwenden und einzelne Ports im Feld „Ports“ für dieselbe Gateway-Ressource auflisten. Sie müssen nur einen Portkonfigurationstyp verwenden.
    • In einem bestimmten Netzwerk und einer bestimmten Region können Sie nicht gleichzeitig eine Secure Web Proxy-Instanz im Next-Hop-Modus mit der Konfiguration all_ports: true und eine andere Secure Web Proxy-Instanz in einem anderen Modus bereitstellen.