Memublikasikan Secure Web Proxy sebagai layanan Private Service Connect

Untuk memusatkan deployment Secure Web Proxy di beberapa jaringan VPC, Anda dapat menyediakan Secure Web Proxy melalui lampiran layanan Private Service Connect.

Men-deploy Secure Web Proxy dengan Private Service Connect melibatkan langkah-langkah berikut:

  1. Buat kebijakandanaturan Secure Web Proxy.
  2. Buat instance Secure Web Proxy yang menggunakan kebijakan Anda.
  3. Buat lampiran layanan untuk memublikasikan instance Secure Web Proxy sebagai layanan Private Service Connect.
  4. Buat endpoint konsumen Private Service Connect di setiap jaringan VPC yang perlu terhubung ke Secure Web Proxy.
  5. Arahkan traffic keluar workload Anda ke instance Secure Web Proxy terpusat dalam region.
Deployment Secure Web Proxy dalam mode lampiran layanan Private Service Connect.
Memublikasikan Secure Web Proxy sebagai layanan Private Service Connect memungkinkan Anda memusatkan pengelolaan traffic keluar untuk workload di beberapa jaringan VPC. (klik untuk memperbesar).

Sebelum memulai

Sebelum menyelesaikan langkah-langkah di halaman ini, selesaikan langkah-langkah penyiapan awal.

Membuat dan mengonfigurasi instance Secure Web Proxy

Panduan ini menjelaskan cara membuat kebijakan dan aturan Secure Web Proxy yang cocok dengan traffic berdasarkan sesi.

Untuk mengetahui informasi tentang cara mengonfigurasi pemeriksaan TLS secara opsional, lihat Mengaktifkan pemeriksaan TLS.

Untuk mengetahui informasi tentang cara mengonfigurasi pencocokan tingkat aplikasi secara opsional, lihat Membuat dan men-deploy instance Secure Web Proxy.

Membuat kebijakan Secure Web Proxy

Konsol

  1. Di Google Cloud konsol, buka halaman SWP Policies.

    Buka SWP Policies

  2. Klik Create a policy.

  3. Masukkan nama untuk kebijakan yang ingin Anda buat, seperti myswppolicy.

  4. Masukkan deskripsi kebijakan.

  5. Dalam daftar Regions, pilih region tempat Anda ingin membuat kebijakan proxy web.

  6. Klik Create.

Cloud Shell

  1. Buat file policy.yaml.

    description: basic Secure Web Proxy policy
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1

    Ganti yang berikut ini:

    • PROJECT_ID: Project ID milik Anda
    • REGION: region kebijakan

  2. Buat kebijakan Secure Web Proxy berdasarkan policy.yaml.

    gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

Menambahkan aturan Secure Web Proxy ke kebijakan Anda

Konfigurasi aturan Secure Web Proxy untuk mengizinkan traffic keluar dari setiap workload.

Bagian ini menunjukkan cara membuat aturan untuk mengizinkan traffic dari workload yang diidentifikasi berdasarkan tag Resource Manager atau akun layanan. Untuk mengetahui informasi tentang cara mencocokkan traffic dengan cara lain, lihat Referensi bahasa pencocok CEL.

Konsol

  1. Di Google Cloud konsol, buka halaman SWP Policies.

    Buka SWP Policies

  2. Klik nama kebijakan Anda.

  3. Untuk menambahkan aturan yang mengizinkan workload mengakses internet, lakukan hal berikut:

    1. Klik Add rule.
    2. Masukkan prioritas. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi.
    3. Masukkan nama.
    4. Masukkan deskripsi.
    5. Masukkan status.
    6. Untuk Action, pilih Allow.
    7. Klik Status, lalu pilih Enabled.

    8. Di bagian Session Match, tentukan kriteria untuk mencocokkan sesi.

      • Misalnya, untuk mengizinkan traffic ke google.com dari workload dengan ID nilai tag Resource Manager tagValues/123456, masukkan hal berikut:

        source.matchTag('tagValues/123456') && host() == 'google.com'

      • Untuk mengizinkan traffic ke google.com dari workload yang menggunakan akun layanan my-service-account@my-project.iam.gserviceaccount.com, masukkan hal berikut:

        source.matchServiceAccount('my-service-account@my-project.iam.gserviceaccount.com') && host() == 'google.com'

    9. Klik Create.

Cloud Shell

Untuk setiap aturan yang ingin Anda tambahkan, lakukan hal berikut:

  1. Buat file rule.yaml dan tentukan kriteria untuk mencocokkan sesi.

    • Untuk mengizinkan traffic ke domain tertentu dari workload yang diidentifikasi berdasarkan ID nilai tag Resource Manager, buat file berikut:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME
description: Allow traffic based on tag
enabled: true
priority: PRIORITY
basicProfile: ALLOW
sessionMatcher: source.matchTag('TAG_VALUE_ID') && host() == 'DOMAIN_NAME'

      Ganti yang berikut ini:

      • PROJECT_ID: Project ID milik Anda
      • REGION: region kebijakan Anda
      • RULE_NAME: nama aturan
      • PRIORITY: prioritas aturan—aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi
      • TAG_VALUE_ID: ID nilai tag workload untuk mengizinkan traffic
      • DOMAIN_NAME: nama domain untuk mengizinkan traffic

    • Untuk mengizinkan traffic ke domain tertentu dari workload yang menggunakan akun layanan, buat file berikut:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME
description: Allow traffic based on service account
enabled: true
priority: PRIORITY
basicProfile: ALLOW
sessionMatcher: source.matchServiceAccount('SERVICE_ACCOUNT') && host() == 'DOMAIN_NAME'

      Ganti SERVICE_ACCOUNT dengan nama akun layanan.

  2. Untuk memperbarui kebijakan Anda dengan aturan yang Anda tentukan di rule.yaml, gunakan perintah berikut:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
   --source=rule.yaml \
   --location=REGION \
   --gateway-security-policy=policy1

Men-deploy instance Secure Web Proxy

Deploy instance Secure Web Proxy dalam mode perutean eksplisit di jaringan Virtual Private Cloud (VPC) yang ingin Anda gunakan untuk traffic keluar. Saat membuat instance, kaitkan dengan kebijakan dan aturan yang Anda buat pada langkah-langkah sebelumnya.

Memublikasikan Secure Web Proxy dengan lampiran layanan Private Service Connect tidak mendukung mode perutean next hop.

Untuk mengetahui informasi tentang cara mengonfigurasi instance, lihat Menyiapkan proxy web. Anda tidak perlu menyelesaikan langkah-langkah lainnya di halaman tersebut saat ini.

Men-deploy Secure Web Proxy sebagai layanan Private Service Connect dalam model hub dan spoke

Bagian ini menjelaskan cara men-deploy Secure Web Proxy sebagai layanan Private Service Connect, menggunakan model hub dan spoke untuk memusatkan pengelolaan traffic keluar.

Memublikasikan Secure Web Proxy sebagai layanan Private Service Connect

Untuk memublikasikan Secure Web Proxy sebagai layanan, buat subnet dan lampiran layanan Private Service Connect. Subnet dan lampiran layanan harus menggunakan region yang sama dengan endpoint Private Service Connect yang mengakses lampiran layanan.

Membuat subnet untuk Private Service Connect

Untuk membuat subnet untuk Private Service Connect, lakukan hal berikut.

Konsol

  1. Di konsol Google Cloud , buka halaman VPC networks.

    Buka VPC networks

  2. Klik nama jaringan VPC untuk menampilkan halaman VPC network details-nya.

  3. Klik Subnets.

  4. Klik Add subnet. Di panel yang muncul, lakukan hal berikut:

    1. Isi Name.
    2. Pilih Region.
    3. Di bagian Purpose, pilih Private Service Connect.
    4. Untuk IP stack type, pilih IPv4 (single-stack) atau IPv4 and IPv6 (dual-stack).
    5. Masukkan IPv4 range. Contoh, 10.10.10.0/24.
    6. Jika Anda membuat subnet stack ganda, tetapkan IPv6 access type ke Internal.
    7. Klik Add.

Cloud Shell

Lakukan salah satu hal berikut:

  • Untuk membuat subnet Private Service Connect khusus IPv4, lakukan hal berikut:

    gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME \
    --region=REGION \
    --range=SUBNET_RANGE \
    --purpose=PRIVATE_SERVICE_CONNECT

  • Untuk membuat subnet Private Service Connect stack ganda, lakukan hal berikut:

    gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME \
    --region=REGION \
    --stack-type=IPV4_IPV6 \
    --ipv6-access-type=INTERNAL \
    --range=SUBNET_RANGE \
    --purpose=PRIVATE_SERVICE_CONNECT

Ganti yang berikut ini:

  • SUBNET_NAME: nama yang akan ditetapkan ke subnet.

  • NETWORK_NAME: nama VPC untuk subnet baru.

  • REGION: region untuk subnet baru. Region ini harus sama dengan layanan yang Anda publikasikan.

  • SUBNET_RANGE: rentang alamat IPv4 yang akan digunakan untuk subnet—misalnya, 10.10.10.0/24.

Membuat lampiran layanan

Untuk memublikasikan Secure Web Proxy sebagai lampiran layanan di jaringan VPC pusat (hub), lakukan hal berikut.

Bagian ini menjelaskan cara membuat lampiran layanan yang secara otomatis menerima semua koneksi. Untuk mengetahui informasi tentang persetujuan eksplisit atau opsi konfigurasi lainnya, lihat Memublikasikan layanan dengan persetujuan eksplisit.

Konsol

  1. Di konsol Google Cloud , buka halaman Private Service Connect.

    Buka Private Service Connect

  2. Klik tab Published services.

  3. Klik Publish service.

  4. Di bagian Target details, pilih Secure Web Proxy.

  5. Pilih instance Secure Web Proxy yang Anda ingin publikasikan. Kolom jaringan dan region diisi dengan detail untuk instance Secure Web Proxy yang dipilih.

  6. Untuk Service name, masukkan nama lampiran layanan.

  7. Pilih satu atau beberapa subnet Private Service Connect untuk layanan. Daftar ini diisi dengan subnet dari jaringan VPC instance Secure Web Proxy yang dipilih.

  8. Di bagian Connection preference, pilih Automatically accept all connections.

  9. Klik Add service.

Cloud Shell

Gunakan perintah gcloud compute service-attachments create.

gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \
    --target-service=SWP_INSTANCE_URI \
    --connection-preference=ACCEPT_AUTOMATIC \
    --nat-subnets=NAT_SUBNET_NAME \
    --region=REGION \
    --project=PROJECT \

Ganti yang berikut ini:

  • SERVICE_ATTACHMENT_NAME: nama lampiran layanan
  • SWP_INSTANCE_URI: URI instance Secure Web Proxy, dalam bentuk berikut: //networkservices.googleapis.com/projects/PROJECT_ID/locations/REGION/gateways/INSTANCE_NAME
  • NAT_SUBNET_NAME: nama subnet Private Service Connect
  • REGION: region deployment Secure Web Proxy
  • PROJECT: project deployment Secure Web Proxy

Membuat endpoint

Buat endpoint di setiap jaringan dan region VPC yang perlu mengirim traffic keluar melalui instance Secure Web Proxy terpusat. Ulangi langkah-langkah berikut untuk setiap endpoint yang perlu Anda buat.

Konsol

  1. Di konsol Google Cloud , buka halaman Private Service Connect.

    Buka Private Service Connect

  2. Klik tab Connected endpoints.

  3. Klik Connect endpoint.

  4. Untuk Target, pilih Published service.

  5. Untuk Target service, masukkan URI lampiran layanan yang ingin Anda hubungkan.

    URI lampiran layanan menggunakan format ini: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

  6. Untuk Endpoint name, masukkan nama yang akan digunakan untuk endpoint.

  7. Pilih Network untuk endpoint.

  8. Pilih Subnetwork untuk endpoint.

  9. Pilih IP address untuk endpoint. Jika memerlukan alamat IP baru, Anda dapat membuatnya:

    1. Klik menu drop-down IP address , lalu pilih Create IP address.
    2. Masukkan Name dan Description opsional untuk alamat IP.
    3. Pilih IP version.

    4. Jika Anda membuat alamat IPv4, pilih Assign automatically atau Let me choose.

      Jika memilih Let me choose, masukkan Custom IP address yang ingin Anda gunakan.

    5. Klik Reserve.

  10. Klik Add endpoint.

Cloud Shell

  1. Cadangkan alamat IP internal untuk ditetapkan ke endpoint.

    gcloud compute addresses create ADDRESS_NAME \
    --region=REGION \
    --subnet=SUBNET \
    --ip-version=IP_VERSION

    Ganti kode berikut:

    • ADDRESS_NAME: nama yang akan ditetapkan ke alamat IP yang dicadangkan.

    • REGION: region untuk alamat IP endpoint. Ini harus merupakan region yang sama dengan yang berisi lampiran layanan produsen layanan.

    • SUBNET: nama subnet untuk alamat IP endpoint.

    • IP_VERSION: versi IP dari alamat IP, yang dapat berupa IPV4 atau IPV6. IPV4 adalah defaultnya. Untuk menentukan IPV6, alamat IP harus terhubung ke subnet dengan rentang alamat IPv6 internal.

  2. Buat aturan penerusan untuk menghubungkan endpoint ke lampiran layanan produsen layanan.

    gcloud compute forwarding-rules create ENDPOINT_NAME \
   --region=REGION \
   --network=NETWORK_NAME \
   --address=ADDRESS_NAME \
   --target-service-attachment=SERVICE_ATTACHMENT

    Ganti yang berikut ini:

    • ENDPOINT_NAME: nama yang akan ditetapkan ke endpoint.

    • REGION: region untuk endpoint. Ini harus merupakan region yang sama dengan yang berisi lampiran layanan produsen layanan.

    • NETWORK_NAME: nama jaringan VPC untuk endpoint.

    • ADDRESS_NAME: nama alamat yang dicadangkan.

    • SERVICE_ATTACHMENT: URI lampiran layanan produsen layanan. Contoh: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Mengarahkan workload ke endpoint Private Service Connect

Konfigurasi variabel lingkungan proxy sehingga setiap workload menggunakan alamat IP endpoint Private Service Connect untuk traffic keluar.

Misalnya, untuk workload di lingkungan Linux atau macOS, Anda dapat menggunakan command line untuk mengonfigurasi variabel lingkungan HTTP_PROXY dan HTTPS_PROXY untuk sementara:

export HTTP_PROXY="http://ENDPOINT_IP_ADDRESS:HTTP_PORT"
export HTTPS_PROXY="https://ENDPOINT_IP_ADDRESS:HTTPS_PORT"

Ganti yang berikut ini:

  • ENDPOINT_IP_ADDRESS: alamat IP internal endpoint Anda
  • HTTP_PORT: port untuk menerima traffic HTTP
  • HTTPS_PORT: port untuk menerima traffic HTTPS

Untuk mengetahui informasi tentang cara menetapkan variabel proxy secara permanen di lingkungan workload Anda, lihat dokumentasi sistem operasi Anda.

Apa langkah selanjutnya?