Per centralizzare il deployment di Secure Web Proxy in più reti VPC, puoi rendere disponibile Secure Web Proxy tramite un collegamento del servizio Private Service Connect.
Il deployment di Secure Web Proxy con Private Service Connect prevede i seguenti passaggi:
- Crea un criterio e regole per Secure Web Proxy.
- Crea un'istanza di Secure Web Proxy che utilizzi il tuo criterio.
- Crea un collegamento al servizio per pubblicare l'istanza di Secure Web Proxy come servizio Private Service Connect.
- Crea un endpoint consumer Private Service Connect in ogni rete VPC che deve connettersi a Secure Web Proxy.
- Indirizza il traffico in uscita del tuo workload all'istanza Secure Web Proxy centralizzata all'interno della regione.
Prima di iniziare
Prima di completare i passaggi di questa pagina, completa i passaggi di configurazione iniziale.
Crea e configura un'istanza di Secure Web Proxy
Questa guida descrive come creare un criterio e regole Secure Web Proxy che corrispondono al traffico per sessione.
Per informazioni sulla configurazione facoltativa dell'ispezione TLS, consulta Attivare l'ispezione TLS.
Per informazioni sulla configurazione facoltativa della corrispondenza a livello di applicazione, vedi Deploy di un'istanza di Secure Web Proxy.
Crea un criterio Secure Web Proxy
Console
Nella console Google Cloud , vai alla pagina Policy SWP.
Fai clic su Crea una policy.
Inserisci un nome per la policy che vuoi creare, ad esempio
myswppolicy.Inserisci una descrizione della norma.
Nell'elenco Regioni, seleziona la regione in cui vuoi creare la policy del proxy web.
Fai clic su Crea.
Cloud Shell
Crea un file
policy.yaml.description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1Sostituisci quanto segue:
PROJECT_ID: l'ID progetto del tuo progettoREGION: la regione della policy
Crea una policy Secure Web Proxy basata su
policy.yaml.gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION
Aggiungere regole di Secure Web Proxy alla policy
Configura le regole di Secure Web Proxy per consentire il traffico in uscita da ogni workload.
Questa sezione mostra come creare una regola per consentire il traffico dai workload identificati dal tag Resource Manager o dal account di servizio. Per informazioni su come abbinare il traffico in altri modi, consulta il riferimento al linguaggio del matcher CEL.
Console
Nella console Google Cloud , vai alla pagina Policy SWP.
Fai clic sul nome della policy.
Per aggiungere regole per consentire ai workload di accedere a internet, procedi nel seguente modo:
- Fai clic su Aggiungi regola.
- Inserisci una priorità. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove
0è la priorità più alta. - Inserisci un nome.
- Inserisci una descrizione.
- Inserisci uno stato.
- In Azione, seleziona Consenti.
- Fai clic su Stato e poi seleziona Attivato.
Nella sezione Corrispondenza sessione, specifica i criteri per la corrispondenza della sessione.
Ad esempio, per consentire il traffico verso google.com dai carichi di lavoro con l'ID valore tag Resource Manager
tagValues/123456, inserisci quanto segue:source.matchTag('tagValues/123456') && host() == 'google.com'Per consentire il traffico verso google.com dai carichi di lavoro che utilizzano il account di servizio
account-name@my-project.iam.gserviceaccount.com, inserisci quanto segue:source.matchServiceAccount('account-name@my-project.iam.gserviceaccount.com') && host() == 'google.com'
Fai clic su Crea.
Cloud Shell
Per ogni regola che vuoi aggiungere:
Crea un file
rule.yamle specifica i criteri per la corrispondenza della sessione.Per consentire il traffico verso un dominio specifico dai workload identificati dall'ID valore tag Resource Manager, crea il seguente file:
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME description: Allow traffic based on tag enabled: true priority: PRIORITY basicProfile: ALLOW sessionMatcher: source.matchTag('TAG_VALUE_ID') && host() == 'DOMAIN_NAME'Sostituisci quanto segue:
PROJECT_ID: l'ID progetto del tuo progettoREGION: la regione della policyRULE_NAME: il nome della regolaPRIORITY: la priorità della regola. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove0è la priorità più alta.TAG_VALUE_ID: l'ID valore tag dei workload per cui consentire il trafficoDOMAIN_NAME: il nome di dominio a cui consentire il traffico
Per consentire il traffico verso un dominio specifico dai carichi di lavoro che utilizzano un account di servizio, crea il seguente file:
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME description: Allow traffic based on service account enabled: true priority: PRIORITY basicProfile: ALLOW sessionMatcher: source.matchServiceAccount('SERVICE_ACCOUNT') && host() == 'DOMAIN_NAME'Sostituisci
SERVICE_ACCOUNTcon il nome del account di servizio.
Per aggiornare la policy con la regola definita in
rule.yaml, utilizza il seguente comando:gcloud network-security gateway-security-policies rules import RULE_NAME \ --source=rule.yaml \ --location=REGION \ --gateway-security-policy=policy1
Esegui il deployment di un'istanza di Secure Web Proxy
Esegui il deployment di un'istanza Secure Web Proxy in modalità di routing esplicito nella rete Virtual Private Cloud (VPC) che vuoi utilizzare per il traffico in uscita. Quando crei l'istanza, associala alla policy e alle regole che hai creato nei passaggi precedenti.
La pubblicazione di Secure Web Proxy con un collegamento al servizio Private Service Connect non supporta la modalità di routing "Hop successivo".
Per informazioni sulla configurazione dell'istanza, vedi Configura un proxy web. Al momento non devi completare gli altri passaggi indicati in quella pagina.
Esegui il deployment di Secure Web Proxy come servizio Private Service Connect in un modello hub e spoke
Questa sezione descrive come eseguire il deployment di Secure Web Proxy come servizio Private Service Connect utilizzando un modello hub e spoke per centralizzare la gestione del traffico in uscita.
Pubblica Secure Web Proxy come servizio Private Service Connect
Per pubblicare Secure Web Proxy come servizio, crea una subnet e un collegamento di servizio Private Service Connect. La subnet e il collegamento al servizio devono condividere la stessa regione degli endpoint Private Service Connect che accedono al collegamento al servizio.
Crea una subnet per Private Service Connect
Per creare una subnet per Private Service Connect, procedi nel seguente modo.
Console
Nella console Google Cloud , vai alla pagina Reti VPC.
Fai clic sul nome di una rete VPC per visualizzare la pagina Dettagli rete VPC.
Fai clic su Subnet.
Fai clic su Aggiungi subnet. Nel riquadro visualizzato, segui questi passaggi:
- Fornisci un nome.
- Seleziona una Regione.
- Nella sezione Scopo, seleziona Private Service Connect.
- Per Tipo di stack IP, seleziona IPv4 (stack singolo) o IPv4 e IPv6 (stack doppio).
- Inserisci un intervallo IPv4. Ad esempio,
10.10.10.0/24. - Se stai creando una subnet a doppio stack, imposta il tipo di accesso IPv6 su Interno.
- Fai clic su Aggiungi.
Cloud Shell
Esegui una delle seguenti operazioni:
Per creare una subnet Private Service Connect solo IPv4, procedi nel seguente modo:
gcloud compute networks subnets create SUBNET_NAME \ --network=NETWORK_NAME \ --region=REGION \ --range=SUBNET_RANGE \ --purpose=PRIVATE_SERVICE_CONNECTPer creare una subnet Private Service Connect dual-stack, procedi nel seguente modo:
gcloud compute networks subnets create SUBNET_NAME \ --network=NETWORK_NAME \ --region=REGION \ --stack-type=IPV4_IPV6 \ --ipv6-access-type=INTERNAL \ --range=SUBNET_RANGE \ --purpose=PRIVATE_SERVICE_CONNECT
Sostituisci quanto segue:
SUBNET_NAME: il nome da assegnare alla subnet.NETWORK_NAME: il nome del VPC per la nuova subnet.REGION: la regione per la nuova subnet. Deve trovarsi nella stessa regione del servizio che stai pubblicando.SUBNET_RANGE: l'intervallo di indirizzi IPv4 da utilizzare per la subnet, ad esempio10.10.10.0/24.
Crea un collegamento al servizio
Per pubblicare Secure Web Proxy come collegamento del servizio nella rete VPC centrale (hub), segui questi passaggi.
Questa sezione descrive come creare un service attachment che accetta automaticamente tutte le connessioni. Per informazioni sull'approvazione esplicita o su altre opzioni di configurazione, vedi Pubblicare un servizio con approvazione esplicita.
Console
Nella console Google Cloud , vai alla pagina Private Service Connect.
Fai clic sulla scheda Servizi pubblicati.
Fai clic su Pubblica servizio.
Nella sezione Dettagli target, seleziona Secure Web Proxy.
Seleziona l'istanza di Secure Web Proxy che vuoi pubblicare. I campi rete e regione vengono compilati con i dettagli dell'istanza Secure Web Proxy selezionata.
In Nome servizio, inserisci un nome per il collegamento del servizio.
Seleziona una o più subnet Private Service Connect per il servizio. L'elenco viene compilato con le subnet della rete VPC dell'istanza Secure Web Proxy selezionata.
Nella sezione Preferenza di connessione, seleziona Accetta automaticamente tutte le connessioni.
Fai clic su Aggiungi servizio.
Cloud Shell
Utilizza il comando gcloud compute service-attachments create.
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \
--target-service=SWP_INSTANCE_URI \
--connection-preference=ACCEPT_AUTOMATIC \
--nat-subnets=NAT_SUBNET_NAME \
--region=REGION \
--project=PROJECT \
Sostituisci quanto segue:
SERVICE_ATTACHMENT_NAME: il nome dell'allegato di servizioSWP_INSTANCE_URI: l'URI dell'istanza Secure Web Proxy, nel seguente formato://networkservices.googleapis.com/projects/PROJECT_ID/locations/REGION/gateways/INSTANCE_NAMENAT_SUBNET_NAME: il nome della subnet Private Service ConnectREGION: la regione del deployment di Secure Web ProxyPROJECT: il progetto del deployment di Secure Web Proxy
Creazione endpoint
Crea un endpoint in ogni rete VPC e regione che deve inviare traffico in uscita tramite l'istanza Secure Web Proxy centralizzata. Ripeti i seguenti passaggi per ogni endpoint che devi creare.
Console
Nella console Google Cloud , vai alla pagina Private Service Connect.
Fai clic sulla scheda Endpoint connessi.
Fai clic su Connetti endpoint.
In Destinazione, seleziona Servizio pubblicato.
Per Servizio di destinazione, inserisci l'URI del collegamento al servizio a cui vuoi connetterti.
L'URI del collegamento al servizio ha questo formato:
projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAMEIn Nome endpoint, inserisci un nome da utilizzare per l'endpoint.
Seleziona una Rete per l'endpoint.
Seleziona una subnet per l'endpoint.
Seleziona un indirizzo IP per l'endpoint. Se hai bisogno di un nuovo indirizzo IP, puoi crearne uno:
- Fai clic sul menu a discesa Indirizzo IP e seleziona Crea indirizzo IP.
- Inserisci un nome e una descrizione facoltativa per l'indirizzo IP.
- Seleziona una Versione IP.
Se stai creando un indirizzo IPv4, seleziona Assegna automaticamente o Scegli.
Se hai selezionato Fammi scegliere, inserisci l'indirizzo IP personalizzato che vuoi utilizzare.
Fai clic su Prenota.
Fai clic su Aggiungi endpoint.
Cloud Shell
Prenota un indirizzo IP interno da assegnare all'endpoint.
gcloud compute addresses create ADDRESS_NAME \ --region=REGION \ --subnet=SUBNET \ --ip-version=IP_VERSIONSostituisci quanto segue:
ADDRESS_NAME: il nome da assegnare all'indirizzo IP riservato.REGION: la regione dell'indirizzo IP dell'endpoint. Deve essere la stessa regione che contiene l'allegato di servizio del producer di servizi.SUBNET: il nome della subnet per l'indirizzo IP dell'endpoint.IP_VERSION: la versione IP dell'indirizzo IP, che può essereIPV4oIPV6.IPV4è il valore predefinito. Per specificareIPV6, l'indirizzo IP deve essere connesso a una subnet con un intervallo di indirizzi IPv6 interni.
Crea una regola di forwarding per connettere l'endpoint al collegamento al servizio del producer di servizi.
gcloud compute forwarding-rules create ENDPOINT_NAME \ --region=REGION \ --network=NETWORK_NAME \ --address=ADDRESS_NAME \ --target-service-attachment=SERVICE_ATTACHMENT
Sostituisci quanto segue:
ENDPOINT_NAME: il nome da assegnare all'endpoint.REGION: la regione dell'endpoint. Deve essere la stessa regione che contiene l'allegato di servizio del producer di servizi.NETWORK_NAME: il nome della rete VPC per l'endpoint.ADDRESS_NAME: il nome dell'indirizzo riservato.SERVICE_ATTACHMENT: l'URI del collegamento al servizio del produttore del servizio. Ad esempio:projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
Indirizzare i carichi di lavoro agli endpoint Private Service Connect
Configura le variabili di ambiente del proxy in modo che ogni workload utilizzi l'indirizzo IP di un endpoint Private Service Connect per il traffico in uscita.
Ad esempio, per un carico di lavoro in un ambiente Linux o macOS, puoi utilizzare la
riga di comando per configurare temporaneamente le variabili di ambiente HTTP_PROXY e HTTPS_PROXY:
export HTTP_PROXY="http://ENDPOINT_IP_ADDRESS:HTTP_PORT"
export HTTPS_PROXY="https://ENDPOINT_IP_ADDRESS:HTTPS_PORT"
Sostituisci quanto segue:
ENDPOINT_IP_ADDRESS: l'indirizzo IP interno del tuo endpointHTTP_PORT: la porta per la ricezione del traffico HTTPHTTPS_PORT: la porta per la ricezione del traffico HTTPS
Per informazioni sull'impostazione permanente delle variabili proxy nell'ambiente dei tuoi carichi di lavoro, consulta la documentazione del sistema operativo.
Passaggi successivi
- Configurare l'ispezione TLS
- Utilizzare i tag per creare criteri
- Assegnare indirizzi IP statici per il traffico in uscita
- Considerazioni aggiuntive per la modalità di collegamento del servizio Private Service Connect