בדף הזה מוסבר איך ליצור מדיניות של Secure Web Proxy ואיך להגדיר ניתוב של next hop עבור מופע Secure Web Proxy. בנוסף, בדף הזה מוסבר איך להגדיר ניתוב סטטי או ניתוב מבוסס-מדיניות עבור הניתוב הבא.
כברירת מחדל, למופעים של SecureWebProxy יש ערך RoutingMode של EXPLICIT_ROUTING_MODE, כלומר צריך להגדיר את עומסי העבודה כך שישלחו תנועת HTTP(S) באופן מפורש ל-Secure Web Proxy. במקום להגדיר לקוחות פרטניים שיצביעו על מופע Secure Web Proxy, אפשר להגדיר את RoutingMode של מופע Secure Web Proxy כ-NEXT_HOP_ROUTING_MODE, וכך להגדיר נתיבים שמפנים תנועה למופע Secure Web Proxy.
כשפורסים את מופע Secure Web Proxy כנקודת מעבר (next hop), אפשר להגדיר את שער הגישה להאזנה בכל היציאות (מ-1 עד 65535), וכך לפשט את ההגדרה בסביבות דינמיות או בשירותים שמשתמשים בכמה יציאות.
הגדרה של ניתוב קפיצה הבאה ל-Secure Web Proxy
בקטע הזה מוסבר איך יוצרים מדיניות Secure Web Proxy ואיך פורסים את מופע Secure Web Proxy כנקודת מעבר.
יצירת מדיניות Secure Web Proxy
פריסת מופע Secure Web Proxy כצעד הבא
המסוף
נכנסים לדף Web Proxies במסוף Google Cloud .
לוחצים על יצירת שרת proxy מאובטח לאינטרנט.
מזינים שם לשרת ה-proxy לאינטרנט שרוצים ליצור, למשל
myswp.מזינים תיאור של שרת ה-Proxy לאינטרנט, למשל
My new swp.בקטע מצב ניתוב, בוחרים באפשרות הניתוב הבא.
ברשימה Regions, בוחרים את האזור שבו רוצים ליצור את שרת ה-proxy לאינטרנט.
ברשימה רשת, בוחרים את הרשת שבה רוצים ליצור את שרת ה-proxy לאינטרנט.
ברשימה Subnetwork, בוחרים את רשת המשנה שבה רוצים ליצור את שרת ה-proxy לאינטרנט.
אופציונלי: מזינים את כתובת ה-IP של Secure Web Proxy. אפשר להזין כתובת IP מתוך טווח כתובות ה-IP של Secure Web Proxy שנמצאות ברשת המשנה שיצרתם בשלב הקודם. אם לא תזינו את כתובת ה-IP, מופע Secure Web Proxy יבחר באופן אוטומטי כתובת IP מתוך תת-הרשת שנבחרה.
ברשימה Certificate, בוחרים את האישור שרוצים להשתמש בו כדי ליצור את פרוקסי האינטרנט.
ברשימה Policy, בוחרים את המדיניות שיצרתם כדי לשייך אליה את פרוקסי האינטרנט.
לוחצים על יצירה.
Cloud Shell
משתמשים בכלי לעריכת טקסט כדי ליצור קובץ
gateway.yaml.מוסיפים את הקוד הבא לקובץ
gateway.yaml:name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443, 80] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/NETWORK subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK routingMode: NEXT_HOP_ROUTING_MODEאופציונלי: כדי להגדיר את השער להאזנה בכל היציאות (מ-
1עד65535), מוסיפים את השדהall_portsבקובץgateway.yamlומגדירים אותו ל-true. התכונה הזו נתמכת בגרסת טרום-השקה.מידע על המגבלות שקשורות לשימוש בתכונה
all_portsזמין במאמר מגבלות.name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] all_ports: true gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/NETWORK subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK routingMode: NEXT_HOP_ROUTING_MODEאופציונלי: כדי לאפשר לאפליקציות לקוח מאזורים אחרים של Google Cloud Google Cloud להתחבר לשרת ה-proxy, צריך להפעיל גישה גלובלית כשיוצרים את מופע Secure Web Proxy.
בקובץ
gateway.yaml, מוסיפים את השדהallow_global_accessומגדירים אותו לערךtrue.חשוב: אפשר להפעיל את
allow_global_accessרק כשיוצרים מופע של Secure Web Proxy. אי אפשר לשנות את ההגדרה הזו מאוחר יותר.name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443, 80] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/NETWORK subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK routingMode: NEXT_HOP_ROUTING_MODE allow_global_access: trueיוצרים מכונה של Secure Web Proxy.
gcloud network-services gateways import swp1 \ --source=gateway.yaml \ --location=REGION
פריסת מופע של Secure Web Proxy יכולה להימשך כמה דקות.
יצירת מסלולים לקפיצה הבאה
אחרי שיוצרים מופע של Secure Web Proxy, אפשר להגדיר ניתוב סטטי או ניתוב על סמך מדיניות לקפיצה הבאה:
- מסלולים סטטיים מכוונים את התנועה בתוך הרשת שלכם למופע של Secure Web Proxy באותו אזור. כדי להגדיר נתיב סטטי עם Secure Web Proxy כנקודת הניתוב הבאה, צריך להגדיר תגי רשת.
- מסלולים מבוססי-מדיניות מאפשרים לכם להפנות תנועה למופע של Secure Web Proxy מטווח כתובות IP של מקור. כשמגדירים נתיב מבוסס-מדיניות בפעם הראשונה, צריך להגדיר גם נתיב מבוסס-מדיניות אחר שיהיה נתיב ברירת המחדל.
בקטעים הבאים מוסבר איך ליצור מסלולים סטטיים ומסלולים מבוססי-מדיניות.
יצירת מסלולים סטטיים
כדי להפנות תנועה למופע של Secure Web Proxy, מגדירים נתיב סטטי באמצעות הפקודה gcloud compute routes create. צריך לשייך את המסלול הסטטי לתג רשת, ולהשתמש באותו תג רשת בכל משאבי המקור כדי לוודא שהתנועה שלהם מנותבת מחדש למופע של Secure Web Proxy. במסלולים סטטיים אי אפשר להגדיר טווח כתובות IP של מקור.
מידע נוסף על אופן הפעולה של מסלולים סטטיים ב- Google Cloudזמין במאמר בנושא מסלולים סטטיים.
gcloud
כדי ליצור נתיב סטטי, משתמשים בפקודה הבאה.
gcloud compute routes create STATIC_ROUTE_NAME \
--network=NETWORK_NAME \
--next-hop-ilb=SWP_IP \
--destination-range=DESTINATION_RANGE \
--priority=PRIORITY \
--tags=TAGS \
--project=PROJECT
מחליפים את מה שכתוב בשדות הבאים:
-
STATIC_ROUTE_NAME: השם של המסלול הסטטי -
NETWORK_NAME: השם של הרשת -
SWP_IP: כתובת ה-IP של מופעSecureWebProxyברשת המשנה שצוינה בקובץgateway.yaml -
DESTINATION_RANGE: טווח כתובות ה-IP שאליו רוצים להפנות את התנועה. לדוגמה, אפשר להשתמש ב-0.0.0.0/0כדי להפנות את כל התנועה באינטרנט למופע Secure Web Proxy -
PRIORITY: העדיפות של המסלול. מספרים גבוהים יותר מציינים עדיפות נמוכה יותר. מוודאים שהעדיפות של המסלול נמוכה יותר מבחינה מספרית מהמסלול לאינטרנט שמוגדר כברירת מחדל, שבדרך כלל הוא1000 -
TAGS: רשימה מופרדת בפסיקים של תגים שתשתמשו בהם עם מופע Secure Web Proxy -
PROJECT: מזהה הפרויקט
יצירת מכונה וירטואלית ברשת המשנה המתאימה עם תגי רשת שצוינו בנתיב
gcloud compute instances create swp-nexthop-test-vm \
--subnet=SUBNETWORK \
--zone=ZONE \
--image-project=debian-cloud \
--image-family=debian-11 \
--tags=TAGSמחליפים את מה שכתוב בשדות הבאים:
-
SUBNETWORK: רשת המשנה שהגדרתם עבור פרוקסי האינטרנט -
ZONE: האזור של מופע המכונה הווירטואלית לבדיקה -
TAGS: רשימה מופרדת בפסיקים של תגים שתשתמשו בהם עם מופע Secure Web Proxy
יצירת מסלולים על סמך מדיניות
במקום ניתוב סטטי, אפשר להגדיר ניתוב על סמך מדיניות באמצעות הפקודה network-connectivity policy-based-routes create. צריך גם ליצור ניתוב מבוסס-מדיניות שיהיה ניתוב ברירת המחדל, כדי לאפשר ניתוב ברירת מחדל לתעבורה בין מכונות וירטואליות (VM) ברשת. מידע נוסף על אופן הפעולה של מסלולים מבוססי-מדיניות ב-Google Cloudזמין במאמר ניתוב על סמך מדיניות.
העדיפות של המסלול שמאפשר ניתוב ברירת מחדל צריכה להיות גבוהה יותר (מספרית נמוכה יותר) מהעדיפות של המסלול שמבוסס על מדיניות ומפנה תנועה למופע של Secure Web Proxy. אם יוצרים את הניתוב על סמך מדיניות בעדיפות גבוהה יותר מהניתוב שמאפשר ניתוב ברירת מחדל, הניתוב על סמך מדיניות מקבל עדיפות על פני כל נתיבי ה-VPC האחרים.
בדוגמה הבאה מוסבר איך ליצור ניתוב מבוסס-מדיניות שמפנה תנועה למופע של Secure Web Proxy.
gcloud
משתמשים בפקודה הבאה כדי ליצור את המסלול שמבוסס על מדיניות.
gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-ilb-ip=SWP_IP \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=2 \
--project=PROJECT
מחליפים את מה שכתוב בשדות הבאים:
-
POLICY_BASED_ROUTE_NAME: השם של ניתוב מבוסס-מדיניות -
NETWORK_NAME: השם של הרשת -
SWP_IP: כתובת ה-IP של מופע Secure Web Proxy -
DESTINATION_RANGE: טווח כתובות ה-IP שאליו רוצים להפנות את התנועה -
SOURCE_RANGE: טווח כתובות ה-IP שמהן רוצים להפנות את התנועה -
PROJECT: מזהה הפרויקט
בשלב הבא, פועלים לפי השלבים הבאים כדי ליצור את המסלול שמוגדר כברירת מחדל על סמך מדיניות הניתוב.
gcloud
כדי ליצור את מסלול ברירת המחדל מבוסס-מדיניות, משתמשים בפקודה הבאה.
gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-other-routes="DEFAULT_ROUTING" \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=1 \
--project=PROJECT
מחליפים את מה שכתוב בשדות הבאים:
-
DEFAULT_POLICY_BASED_ROUTE_NAME: השם של ניתוב מבוסס-מדיניות -
NETWORK_NAME: השם של הרשת -
DESTINATION_RANGE: טווח כתובות ה-IP שאליו רוצים להפנות את התנועה -
SOURCE_RANGE: טווח כתובות ה-IP שמהן רוצים להפנות את התנועה -
PROJECT: מזהה הפרויקט
רשימת משימות אחרי הפריסה
אחרי שמגדירים ניתוב סטטי או ניתוב מבוסס-מדיניות עם מופע Secure Web Proxy כנקודת הניתוב הבאה, חשוב לבצע את המשימות הבאות:
- מוודאים שיש נתיב ברירת מחדל לשער האינטרנט.
- מוסיפים את תג הרשת הנכון למסלול הסטטי שמפנה למופע של Secure Web Proxy כאל הצעד הבא.
- מגדירים עדיפות מתאימה למסלול ברירת המחדל למופע Secure Web Proxy בתור הניתוב הבא.
- מכיוון ש-Secure Web Proxy הוא שירות אזורי, צריך לוודא שתעבורת הלקוח מגיעה מאותו אזור שבו נמצא מופע Secure Web Proxy.
מגבלות
- מכונות
SecureWebProxyעםRoutingModeשמוגדר כ-NEXT_HOP_ROUTING_MODEתומכות בתעבורת נתונים של HTTP(S) ו-TCP Proxy. סוגים אחרים של תנועה, כולל תנועה בין אזורים, נחסמים ללא התראה. - כשמשתמשים ב-
next-hop-ilb, המגבלות שחלות על מאזני עומסים פנימיים מסוג passthrough חלות על הצעדים הבאים אם הצעד הבא ביעד הוא מכונת Secure Web Proxy. מידע נוסף מופיע בטבלאות של קפיצות ושל תכונות עבור מסלולים סטטיים. - כל התנועה מהמכונות הווירטואליות (VM), כולל תנועת הרקע והעדכונים, שתואמת לנתיב של הניתוב הבא, תנותב למופע של Secure Web Proxy.
- ברשת VPC באזור מסוים, אפשר לפרוס רק מופע אחד של Secure Web Proxy כצעד הבא (SWPaNH).
- כשמשתמשים בתכונה
all_ports, חלות המגבלות הבאות:- התכונה
all_portsרלוונטית רק לשערי תשלום עםtype: SECURE_WEB_GATEWAY. - אפשר להשתמש בהגדרת
all_ports: trueרק כשroutingModeמוגדר לערךNEXT_HOP_ROUTING_MODE. - אי אפשר לציין גם את ההגדרה
all_ports: trueוגם רשימה של יציאות נפרדות בשדה היציאות של אותו משאב שער. חובה להשתמש רק בסוג אחד של הגדרת יציאה, ולא בשניהם. - ברשת ובאזור נתונים מסוימים, אי אפשר לפרוס בו-זמנית מופע אחד של Secure Web Proxy במצב 'הקפיצה הבאה' עם ההגדרה
all_ports: trueומופע אחר של Secure Web Proxy בכל מצב אחר.
- התכונה