פריסת Secure Web Proxy כצעד הבא

בדף הזה מוסבר איך ליצור מדיניות של Secure Web Proxy ואיך להגדיר ניתוב של next hop עבור מופע Secure Web Proxy. בנוסף, בדף הזה מוסבר איך להגדיר ניתוב סטטי או ניתוב מבוסס-מדיניות עבור הניתוב הבא.

כברירת מחדל, למופעים של SecureWebProxy יש ערך RoutingMode של EXPLICIT_ROUTING_MODE, כלומר צריך להגדיר את עומסי העבודה כך שישלחו תנועת HTTP(S) באופן מפורש ל-Secure Web Proxy. במקום להגדיר לקוחות פרטניים שיצביעו על מופע Secure Web Proxy, אפשר להגדיר את RoutingMode של מופע Secure Web Proxy כ-NEXT_HOP_ROUTING_MODE, וכך להגדיר נתיבים שמפנים תנועה למופע Secure Web Proxy.

כשפורסים את מופע Secure Web Proxy כנקודת מעבר (next hop), אפשר להגדיר את שער הגישה להאזנה בכל היציאות (מ-1 עד 65535), וכך לפשט את ההגדרה בסביבות דינמיות או בשירותים שמשתמשים בכמה יציאות.

הגדרה של ניתוב קפיצה הבאה ל-Secure Web Proxy

בקטע הזה מוסבר איך יוצרים מדיניות Secure Web Proxy ואיך פורסים את מופע Secure Web Proxy כנקודת מעבר.

יצירת מדיניות Secure Web Proxy

  1. משלימים את כל השלבים הנדרשים.
  2. יצירת מדיניות Secure Web Proxy
  3. יצירת כללים של Secure Web Proxy

פריסת מופע Secure Web Proxy כצעד הבא

המסוף

  1. נכנסים לדף Web Proxies במסוף Google Cloud .

    מעבר ל-Web Proxies

  2. לוחצים על יצירת שרת proxy מאובטח לאינטרנט.

  3. מזינים שם לשרת ה-proxy לאינטרנט שרוצים ליצור, למשל myswp.

  4. מזינים תיאור של שרת ה-Proxy לאינטרנט, למשל My new swp.

  5. בקטע מצב ניתוב, בוחרים באפשרות הניתוב הבא.

  6. ברשימה Regions, בוחרים את האזור שבו רוצים ליצור את שרת ה-proxy לאינטרנט.

  7. ברשימה רשת, בוחרים את הרשת שבה רוצים ליצור את שרת ה-proxy לאינטרנט.

  8. ברשימה Subnetwork, בוחרים את רשת המשנה שבה רוצים ליצור את שרת ה-proxy לאינטרנט.

  9. אופציונלי: מזינים את כתובת ה-IP של Secure Web Proxy. אפשר להזין כתובת IP מתוך טווח כתובות ה-IP של Secure Web Proxy שנמצאות ברשת המשנה שיצרתם בשלב הקודם. אם לא תזינו את כתובת ה-IP, מופע Secure Web Proxy יבחר באופן אוטומטי כתובת IP מתוך תת-הרשת שנבחרה.

  10. ברשימה Certificate, בוחרים את האישור שרוצים להשתמש בו כדי ליצור את פרוקסי האינטרנט.

  11. ברשימה Policy, בוחרים את המדיניות שיצרתם כדי לשייך אליה את פרוקסי האינטרנט.

  12. לוחצים על יצירה.

Cloud Shell

  1. משתמשים בכלי לעריכת טקסט כדי ליצור קובץ gateway.yaml.

  2. מוסיפים את הקוד הבא לקובץ gateway.yaml:

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
    type: SECURE_WEB_GATEWAY
    addresses: ["IP_ADDRESS"]
    ports: [443, 80]
    gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    network: projects/PROJECT_ID/global/networks/NETWORK
    subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
    routingMode: NEXT_HOP_ROUTING_MODE
    

    אופציונלי: כדי להגדיר את השער להאזנה בכל היציאות (מ-1 עד 65535), מוסיפים את השדה all_ports בקובץ gateway.yaml ומגדירים אותו ל-true. התכונה הזו נתמכת בגרסת טרום-השקה.

    מידע על המגבלות שקשורות לשימוש בתכונה all_ports זמין במאמר מגבלות.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
    type: SECURE_WEB_GATEWAY
    addresses: ["IP_ADDRESS"]
    all_ports: true
    gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    network: projects/PROJECT_ID/global/networks/NETWORK
    subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
    routingMode: NEXT_HOP_ROUTING_MODE
    

    אופציונלי: כדי לאפשר לאפליקציות לקוח מאזורים אחרים של Google Cloud Google Cloud להתחבר לשרת ה-proxy, צריך להפעיל גישה גלובלית כשיוצרים את מופע Secure Web Proxy.

    בקובץ gateway.yaml, מוסיפים את השדה allow_global_access ומגדירים אותו לערך true.

    חשוב: אפשר להפעיל את allow_global_access רק כשיוצרים מופע של Secure Web Proxy. אי אפשר לשנות את ההגדרה הזו מאוחר יותר.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
    type: SECURE_WEB_GATEWAY
    addresses: ["IP_ADDRESS"]
    ports: [443, 80]
    gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    network: projects/PROJECT_ID/global/networks/NETWORK
    subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
    routingMode: NEXT_HOP_ROUTING_MODE
    allow_global_access: true
    
  3. יוצרים מכונה של Secure Web Proxy.

    gcloud network-services gateways import swp1 \
    --source=gateway.yaml \
    --location=REGION
    

    פריסת מופע של Secure Web Proxy יכולה להימשך כמה דקות.

יצירת מסלולים לקפיצה הבאה

אחרי שיוצרים מופע של Secure Web Proxy, אפשר להגדיר ניתוב סטטי או ניתוב על סמך מדיניות לקפיצה הבאה:

  • מסלולים סטטיים מכוונים את התנועה בתוך הרשת שלכם למופע של Secure Web Proxy באותו אזור. כדי להגדיר נתיב סטטי עם Secure Web Proxy כנקודת הניתוב הבאה, צריך להגדיר תגי רשת.
  • מסלולים מבוססי-מדיניות מאפשרים לכם להפנות תנועה למופע של Secure Web Proxy מטווח כתובות IP של מקור. כשמגדירים נתיב מבוסס-מדיניות בפעם הראשונה, צריך להגדיר גם נתיב מבוסס-מדיניות אחר שיהיה נתיב ברירת המחדל.

בקטעים הבאים מוסבר איך ליצור מסלולים סטטיים ומסלולים מבוססי-מדיניות.

יצירת מסלולים סטטיים

כדי להפנות תנועה למופע של Secure Web Proxy, מגדירים נתיב סטטי באמצעות הפקודה gcloud compute routes create. צריך לשייך את המסלול הסטטי לתג רשת, ולהשתמש באותו תג רשת בכל משאבי המקור כדי לוודא שהתנועה שלהם מנותבת מחדש למופע של Secure Web Proxy. במסלולים סטטיים אי אפשר להגדיר טווח כתובות IP של מקור.

מידע נוסף על אופן הפעולה של מסלולים סטטיים ב- Google Cloudזמין במאמר בנושא מסלולים סטטיים.

gcloud

כדי ליצור נתיב סטטי, משתמשים בפקודה הבאה.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT
 

מחליפים את מה שכתוב בשדות הבאים:

  • STATIC_ROUTE_NAME: השם של המסלול הסטטי
  • NETWORK_NAME: השם של הרשת
  • SWP_IP: כתובת ה-IP של מופע SecureWebProxy ברשת המשנה שצוינה בקובץ gateway.yaml
  • DESTINATION_RANGE: טווח כתובות ה-IP שאליו רוצים להפנות את התנועה. לדוגמה, אפשר להשתמש ב-0.0.0.0/0 כדי להפנות את כל התנועה באינטרנט למופע Secure Web Proxy
  • PRIORITY: העדיפות של המסלול. מספרים גבוהים יותר מציינים עדיפות נמוכה יותר. מוודאים שהעדיפות של המסלול נמוכה יותר מבחינה מספרית מהמסלול לאינטרנט שמוגדר כברירת מחדל, שבדרך כלל הוא 1000
  • TAGS: רשימה מופרדת בפסיקים של תגים שתשתמשו בהם עם מופע Secure Web Proxy
  • PROJECT: מזהה הפרויקט

יצירת מכונה וירטואלית ברשת המשנה המתאימה עם תגי רשת שצוינו בנתיב

gcloud compute instances create swp-nexthop-test-vm \
    --subnet=SUBNETWORK \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11 \
    --tags=TAGS

מחליפים את מה שכתוב בשדות הבאים:

  • SUBNETWORK: רשת המשנה שהגדרתם עבור פרוקסי האינטרנט
  • ZONE: האזור של מופע המכונה הווירטואלית לבדיקה
  • TAGS: רשימה מופרדת בפסיקים של תגים שתשתמשו בהם עם מופע Secure Web Proxy

יצירת מסלולים על סמך מדיניות

במקום ניתוב סטטי, אפשר להגדיר ניתוב על סמך מדיניות באמצעות הפקודה network-connectivity policy-based-routes create. צריך גם ליצור ניתוב מבוסס-מדיניות שיהיה ניתוב ברירת המחדל, כדי לאפשר ניתוב ברירת מחדל לתעבורה בין מכונות וירטואליות (VM) ברשת. מידע נוסף על אופן הפעולה של מסלולים מבוססי-מדיניות ב-Google Cloudזמין במאמר ניתוב על סמך מדיניות.

העדיפות של המסלול שמאפשר ניתוב ברירת מחדל צריכה להיות גבוהה יותר (מספרית נמוכה יותר) מהעדיפות של המסלול שמבוסס על מדיניות ומפנה תנועה למופע של Secure Web Proxy. אם יוצרים את הניתוב על סמך מדיניות בעדיפות גבוהה יותר מהניתוב שמאפשר ניתוב ברירת מחדל, הניתוב על סמך מדיניות מקבל עדיפות על פני כל נתיבי ה-VPC האחרים.

בדוגמה הבאה מוסבר איך ליצור ניתוב מבוסס-מדיניות שמפנה תנועה למופע של Secure Web Proxy.

gcloud

משתמשים בפקודה הבאה כדי ליצור את המסלול שמבוסס על מדיניות.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT
 

מחליפים את מה שכתוב בשדות הבאים:

  • POLICY_BASED_ROUTE_NAME: השם של ניתוב מבוסס-מדיניות
  • NETWORK_NAME: השם של הרשת
  • SWP_IP: כתובת ה-IP של מופע Secure Web Proxy
  • DESTINATION_RANGE: טווח כתובות ה-IP שאליו רוצים להפנות את התנועה
  • SOURCE_RANGE: טווח כתובות ה-IP שמהן רוצים להפנות את התנועה
  • PROJECT: מזהה הפרויקט

בשלב הבא, פועלים לפי השלבים הבאים כדי ליצור את המסלול שמוגדר כברירת מחדל על סמך מדיניות הניתוב.

gcloud

כדי ליצור את מסלול ברירת המחדל מבוסס-מדיניות, משתמשים בפקודה הבאה.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT
 

מחליפים את מה שכתוב בשדות הבאים:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: השם של ניתוב מבוסס-מדיניות
  • NETWORK_NAME: השם של הרשת
  • DESTINATION_RANGE: טווח כתובות ה-IP שאליו רוצים להפנות את התנועה
  • SOURCE_RANGE: טווח כתובות ה-IP שמהן רוצים להפנות את התנועה
  • PROJECT: מזהה הפרויקט

רשימת משימות אחרי הפריסה

אחרי שמגדירים ניתוב סטטי או ניתוב מבוסס-מדיניות עם מופע Secure Web Proxy כנקודת הניתוב הבאה, חשוב לבצע את המשימות הבאות:

  • מוודאים שיש נתיב ברירת מחדל לשער האינטרנט.
  • מוסיפים את תג הרשת הנכון למסלול הסטטי שמפנה למופע של Secure Web Proxy כאל הצעד הבא.
  • מגדירים עדיפות מתאימה למסלול ברירת המחדל למופע Secure Web Proxy בתור הניתוב הבא.
  • מכיוון ש-Secure Web Proxy הוא שירות אזורי, צריך לוודא שתעבורת הלקוח מגיעה מאותו אזור שבו נמצא מופע Secure Web Proxy.

מגבלות

  • מכונות SecureWebProxy עם RoutingMode שמוגדר כ-NEXT_HOP_ROUTING_MODE תומכות בתעבורת נתונים של HTTP(S) ו-TCP Proxy. סוגים אחרים של תנועה, כולל תנועה בין אזורים, נחסמים ללא התראה.
  • כשמשתמשים ב-next-hop-ilb, המגבלות שחלות על מאזני עומסים פנימיים מסוג passthrough חלות על הצעדים הבאים אם הצעד הבא ביעד הוא מכונת Secure Web Proxy. מידע נוסף מופיע בטבלאות של קפיצות ושל תכונות עבור מסלולים סטטיים.
  • כל התנועה מהמכונות הווירטואליות (VM), כולל תנועת הרקע והעדכונים, שתואמת לנתיב של הניתוב הבא, תנותב למופע של Secure Web Proxy.
  • ברשת VPC באזור מסוים, אפשר לפרוס רק מופע אחד של Secure Web Proxy כצעד הבא (SWPaNH).
  • כשמשתמשים בתכונה all_ports, חלות המגבלות הבאות:
    • התכונה all_ports רלוונטית רק לשערי תשלום עם type: SECURE_WEB_GATEWAY.
    • אפשר להשתמש בהגדרת all_ports: true רק כשroutingMode מוגדר לערך NEXT_HOP_ROUTING_MODE.
    • אי אפשר לציין גם את ההגדרה all_ports: true וגם רשימה של יציאות נפרדות בשדה היציאות של אותו משאב שער. חובה להשתמש רק בסוג אחד של הגדרת יציאה, ולא בשניהם.
    • ברשת ובאזור נתונים מסוימים, אי אפשר לפרוס בו-זמנית מופע אחד של Secure Web Proxy במצב 'הקפיצה הבאה' עם ההגדרה all_ports: true ומופע אחר של Secure Web Proxy בכל מצב אחר.