פרסום Secure Web Proxy כשירות Private Service Connect

כדי לרכז את הפריסה של Secure Web Proxy בכמה רשתות VPC, אפשר להפוך את Secure Web Proxy לזמין באמצעות קובץ מצורף של שירות Private Service Connect.

כדי לפרוס Secure Web Proxy עם Private Service Connect, צריך לבצע את השלבים הבאים:

  1. יוצרים מדיניות וכללים ל-Secure Web Proxy.
  2. יוצרים מופע של Secure Web Proxy שמשתמש במדיניות שלכם.
  3. יוצרים קובץ מצורף עם שירות כדי לפרסם את מופע Secure Web Proxy כשירות Private Service Connect.
  4. יוצרים נקודת קצה (endpoint) של צרכן Private Service Connect בכל רשת VPC שצריך להתחבר אליה ל-Secure Web Proxy.
  5. מפנים את התנועה היוצאת של עומס העבודה למופע Secure Web Proxy מרכזי באזור.
פריסה של Secure Web Proxy במצב קובץ מצורף עם השירות Private Service Connect.
פרסום Secure Web Proxy כשירות Private Service Connect מאפשר לכם לרכז את ניהול התעבורה היוצאת של עומסי עבודה בכמה רשתות VPC. (לוחצים כדי להגדיל).

לפני שמתחילים

לפני שמבצעים את השלבים בדף הזה, צריך להשלים את שלבי ההגדרה הראשונית.

יצירה והגדרה של מופע Secure Web Proxy

במדריך הזה מוסבר איך ליצור מדיניות וכללים של Secure Web Proxy שתואמים לתנועה לפי סשן.

מידע על הגדרת בדיקת TLS (אופציונלית) מופיע במאמר בנושא הפעלת בדיקת TLS.

מידע על הגדרה אופציונלית של התאמה ברמת האפליקציה זמין במאמר יצירה ופריסה של מופע Secure Web Proxy.

יצירת מדיניות Secure Web Proxy

המסוף

  1. נכנסים לדף SWP Policies במסוף Google Cloud .

    מעבר אל מדיניות SWP

  2. לוחצים על יצירת מדיניות.

  3. מזינים שם למדיניות שרוצים ליצור, למשל myswppolicy.

  4. מזינים תיאור של המדיניות.

  5. ברשימה Regions, בוחרים את האזור שבו רוצים ליצור את מדיניות פרוקסי האינטרנט.

  6. לוחצים על יצירה.

Cloud Shell

  1. יוצרים קובץ policy.yaml.

    description: basic Secure Web Proxy policy
    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: מזהה הפרויקט שלכם
    • REGION: האזור של המדיניות
  2. יוצרים מדיניות Secure Web Proxy על סמך policy.yaml.

    gcloud network-security gateway-security-policies import policy1 \
        --source=policy.yaml \
        --location=REGION
    

הוספת כללים של Secure Web Proxy למדיניות

מגדירים כללים של Secure Web Proxy כדי לאפשר תעבורת נתונים יוצאת מכל עומס עבודה.

בקטע הזה מוסבר איך ליצור כלל שיאפשר תעבורת נתונים מעומסי עבודה שמזוהים באמצעות תג מנהל המשאבים או חשבון שירות. למידע על התאמת תנועה בדרכים אחרות, אפשר לעיין במאמר CEL matcher language reference.

המסוף

  1. נכנסים לדף SWP Policies במסוף Google Cloud .

    מעבר אל מדיניות SWP

  2. לוחצים על שם המדיניות.

  3. כדי להוסיף כללים שיאפשרו לעומסי עבודה לגשת לאינטרנט:

    1. לוחצים על הוספת כלל.
    2. מזינים עדיפות. הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר 0 היא העדיפות הגבוהה ביותר.
    3. מזינים שם.
    4. הזן תיאור
    5. מזינים סטטוס.
    6. בקטע פעולה, בוחרים באפשרות אישור.
    7. לוחצים על סטטוס ואז בוחרים באפשרות מופעל.
    8. בקטע התאמה לסשן, מציינים את הקריטריונים להתאמה לסשן.

      • לדוגמה, כדי לאפשר תעבורת נתונים אל google.com מעומסי עבודה עם מזהה ערך התג של מנהל המשאבים tagValues/123456, מזינים את הפקודה הבאה:

        source.matchTag('tagValues/123456') && host() == 'google.com'

      • כדי לאפשר תנועה אל google.com מעומסי עבודה שמשתמשים בחשבון השירות my-service-account@my-project.iam.gserviceaccount.com, מזינים את הפקודה הבאה:

        source.matchServiceAccount('my-service-account@my-project.iam.gserviceaccount.com') && host() == 'google.com'

    9. לוחצים על יצירה.

Cloud Shell

לכל כלל שרוצים להוסיף:

  1. יוצרים קובץ rule.yaml ומציינים את הקריטריונים להתאמת הסשן.

    • כדי לאפשר תעבורת נתונים לדומיין ספציפי מעומסי עבודה שמזוהים על ידי מזהה ערך תג מנהל המשאבים, יוצרים את הקובץ הבא:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME
      description: Allow traffic based on tag
      enabled: true
      priority: PRIORITY
      basicProfile: ALLOW
      sessionMatcher: source.matchTag('TAG_VALUE_ID') && host() == 'DOMAIN_NAME'
      

      מחליפים את מה שכתוב בשדות הבאים:

      • PROJECT_ID: מזהה הפרויקט שלכם
      • REGION: האזור של המדיניות
      • RULE_NAME: שם הכלל
      • PRIORITY: העדיפות של הכלל – הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר 0 היא העדיפות הגבוהה ביותר
      • TAG_VALUE_ID: מזהה ערך התג של עומסי העבודה שרוצים לאפשר להם תנועה
      • DOMAIN_NAME: שם הדומיין שאליו רוצים לאפשר תנועה
    • כדי לאפשר תנועה לדומיין ספציפי מעומסי עבודה שמשתמשים בחשבון שירות, יוצרים את הקובץ הבא:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME
      description: Allow traffic based on service account
      enabled: true
      priority: PRIORITY
      basicProfile: ALLOW
      sessionMatcher: source.matchServiceAccount('SERVICE_ACCOUNT') && host() == 'DOMAIN_NAME'
      

      מחליפים את SERVICE_ACCOUNT בשם של חשבון השירות.

  2. כדי לעדכן את המדיניות עם הכלל שהגדרתם ב-rule.yaml, משתמשים בפקודה הבאה:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
       --source=rule.yaml \
       --location=REGION \
       --gateway-security-policy=policy1
    

פריסת מופע של Secure Web Proxy

פורסים מופע של Secure Web Proxy במצב ניתוב מפורש ברשת של הענן הווירטואלי הפרטי (VPC) שרוצים להשתמש בה לתעבורת נתונים יוצאת (egress). כשיוצרים את המופע, משייכים אותו למדיניות ולכללים שיצרתם בשלבים הקודמים.

פרסום של Secure Web Proxy עם קובץ מצורף של שירות Private Service Connect לא תומך במצב ניתוב של קפיצה הבאה.

מידע על הגדרת המופע זמין במאמר הגדרת פרוקסי לאינטרנט. בשלב הזה, אין צורך לבצע את השלבים האחרים שמופיעים בדף הזה.

פריסת Secure Web Proxy כשירות Private Service Connect במודל של רכזת ורשתות היקפיות

בקטע הזה מוסבר איך לפרוס את Secure Web Proxy כשירות Private Service Connect, באמצעות מודל של רכזת וחישורים כדי לרכז את ניהול תעבורת הנתונים היוצאת (egress).

פרסום Secure Web Proxy כשירות Private Service Connect

כדי לפרסם Secure Web Proxy כשירות, צריך ליצור רשת משנה וקובץ מצורף של שירות Private Service Connect. רשת המשנה והקובץ המצורף של השירות צריכים להיות באותו אזור כמו נקודות הקצה של Private Service Connect שמקבלות גישה לקובץ המצורף של השירות.

יצירת תת-רשת ל-Private Service Connect

כדי ליצור תת-רשת ל-Private Service Connect, מבצעים את הפעולות הבאות.

המסוף

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. לוחצים על השם של רשת VPC כדי להציג את הדף פרטים של רשת VPC.

  3. לוחצים על Subnets (רשתות משנה).

  4. לוחצים על הוספת רשת משנה. בחלונית שמופיעה, מבצעים את הפעולות הבאות:

    1. מזינים שם.
    2. בוחרים Region.
    3. בקטע מטרה, בוחרים באפשרות Private Service Connect.
    4. בקטע IP stack type, בוחרים באפשרות IPv4 (single-stack) או באפשרות IPv4 and IPv6 (dual-stack).
    5. מזינים טווח IPv4. לדוגמה, 10.10.10.0/24.
    6. אם יוצרים תת-רשת עם תמיכה כפולה ב-IPv4 וב-IPv6, צריך להגדיר את סוג הגישה ל-IPv6 כפנימי.
    7. לוחצים על הוספה.

Cloud Shell

מבצעים אחת מהפעולות הבאות:

  • כדי ליצור תת-רשת של Private Service Connect עם IPv4 בלבד, מבצעים את הפעולות הבאות:

    gcloud compute networks subnets create SUBNET_NAME \
        --network=NETWORK_NAME \
        --region=REGION \
        --range=SUBNET_RANGE \
        --purpose=PRIVATE_SERVICE_CONNECT
    
  • כדי ליצור תת-רשת של Private Service Connect עם תמיכה ב-IPv4 ו-IPv6, מבצעים את הפעולות הבאות:

    gcloud compute networks subnets create SUBNET_NAME \
        --network=NETWORK_NAME \
        --region=REGION \
        --stack-type=IPV4_IPV6 \
        --ipv6-access-type=INTERNAL \
        --range=SUBNET_RANGE \
        --purpose=PRIVATE_SERVICE_CONNECT
    

מחליפים את מה שכתוב בשדות הבאים:

  • SUBNET_NAME: השם שרוצים להקצות לרשת המשנה.

  • NETWORK_NAME: השם של ה-VPC של רשת המשנה החדשה.

  • REGION: האזור של רשת המשנה החדשה. האזור הזה צריך להיות זהה לאזור של השירות שאתם מפרסמים.

  • SUBNET_RANGE: טווח כתובות IPv4 לשימוש ברשת המשנה – לדוגמה, 10.10.10.0/24.

יצירת קובץ מצורף לשירות

כדי לפרסם את Secure Web Proxy כצירוף שירות ברשת ה-VPC המרכזית (hub), מבצעים את הפעולות הבאות.

בקטע הזה מוסבר איך ליצור קובץ מצורף לשירות שמקבל באופן אוטומטי את כל החיבורים. מידע על אישור מפורש או על אפשרויות הגדרה אחרות זמין במאמר פרסום שירות עם אישור מפורש.

המסוף

  1. נכנסים לדף Private Service Connect במסוף Google Cloud .

    כניסה אל Private Service Connect

  2. לוחצים על הכרטיסייה שירותים שפורסמו.

  3. לוחצים על פרסום השירות.

  4. בקטע פרטי היעד, בוחרים באפשרות Secure Web Proxy.

  5. בוחרים את מופע Secure Web Proxy שרוצים לפרסם. השדות 'רשת' ו'אזור' מאוכלסים בפרטים של מופע Secure Web Proxy שנבחר.

  6. בשדה Service name, מזינים שם לחיבור השירות.

  7. בוחרים לפחות רשת משנה אחת מסוג Private Service Connect לשירות. הרשימה מאוכלסת ברשתות משנה מרשת ה-VPC של מופע Secure Web Proxy שנבחר.

  8. בקטע העדפות חיבור, בוחרים באפשרות אישור אוטומטי של כל החיבורים.

  9. לוחצים על הוספת שירות.

Cloud Shell

משתמשים בפקודה gcloud compute service-attachments create.

gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \
    --target-service=SWP_INSTANCE_URI \
    --connection-preference=ACCEPT_AUTOMATIC \
    --nat-subnets=NAT_SUBNET_NAME \
    --region=REGION \
    --project=PROJECT \

מחליפים את מה שכתוב בשדות הבאים:

  • SERVICE_ATTACHMENT_NAME: השם של קובץ השירות המצורף
  • SWP_INSTANCE_URI: ה-URI של מופע Secure Web Proxy, בפורמט הבא: //networkservices.googleapis.com/projects/PROJECT_ID/locations/REGION/gateways/INSTANCE_NAME
  • NAT_SUBNET_NAME: השם של תת-הרשת של Private Service Connect
  • REGION: האזור של פריסת Secure Web Proxy
  • PROJECT: הפרויקט של פריסת Secure Web Proxy

יצירת נקודות קצה

יוצרים נקודת קצה בכל רשת VPC ובכל אזור שצריך לשלוח תעבורת נתונים יוצאת דרך מופע מרכזי של Secure Web Proxy. חוזרים על השלבים הבאים לכל נקודת קצה שרוצים ליצור.

המסוף

  1. נכנסים לדף Private Service Connect במסוף Google Cloud .

    כניסה אל Private Service Connect

  2. לוחצים על הכרטיסייה Connected endpoints (נקודות קצה מחוברות).

  3. לוחצים על Connect endpoint.

  4. בקטע יעד, בוחרים באפשרות שירות שפורסם.

  5. בשדה שירות יעד, מזינים את מזהה המשאבים האחיד (URI) של שירות היעד שרוצים להתחבר אליו.

    ה-URI של קובץ השירות המצורף הוא בפורמט הבא: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

  6. בשדה Endpoint name, מזינים שם לשימוש בנקודת הקצה.

  7. בוחרים רשת לנקודת הקצה.

  8. בוחרים רשת משנה לנקודת הקצה.

  9. בוחרים כתובת IP לנקודת הקצה. אם אתם צריכים כתובת IP חדשה, אתם יכולים ליצור אחת:

    1. לוחצים על התפריט הנפתח IP address (כתובת IP) ובוחרים באפשרות Create IP address (יצירת כתובת IP).
    2. מזינים שם לכתובת ה-IP, ואפשר גם להוסיף תיאור.
    3. בוחרים גרסת IP.
    4. אם יוצרים כתובת IPv4, בוחרים באפשרות הקצאה אוטומטית או באפשרות אני רוצה לבחור.

      אם בחרתם באפשרות אני רוצה לבחור, מזינים את כתובת ה-IP המותאמת אישית שבה רוצים להשתמש.

    5. לוחצים על Reserve.

  10. לוחצים על הוספת נקודת קצה.

Cloud Shell

  1. שומרים כתובת IP פנימית להקצאה לנקודת הקצה.

    gcloud compute addresses create ADDRESS_NAME \
        --region=REGION \
        --subnet=SUBNET \
        --ip-version=IP_VERSION
    

    מחליפים את מה שכתוב בשדות הבאים:

    • ADDRESS_NAME: השם שיוקצה לכתובת ה-IP השמורה.

    • REGION: האזור של כתובת ה-IP של נקודת הקצה. זה חייב להיות אותו אזור שמכיל את קובץ השירות של יצרן השירות.

    • SUBNET: השם של תת-הרשת של כתובת ה-IP של נקודת הקצה.

    • IP_VERSION: גרסת ה-IP של כתובת ה-IP, שיכולה להיות IPV4 או IPV6. ברירת המחדל היא IPV4. כדי לציין את IPV6, כתובת ה-IP צריכה להיות מחוברת לתת-רשת עם טווח כתובות IPv6 פנימי.

  2. יוצרים כלל העברה כדי לחבר את נקודת הקצה ל-Service Attachment של בעלי השירות המנוהל.

    gcloud compute forwarding-rules create ENDPOINT_NAME \
       --region=REGION \
       --network=NETWORK_NAME \
       --address=ADDRESS_NAME \
       --target-service-attachment=SERVICE_ATTACHMENT
    

    מחליפים את מה שכתוב בשדות הבאים:

    • ENDPOINT_NAME: השם שרוצים להקצות לנקודת הקצה.

    • REGION: האזור של נקודת הקצה. האזור הזה חייב להיות זהה לאזור שמכיל את קובץ השירות של ספק השירות.

    • NETWORK_NAME: השם של רשת ה-VPC של נקודת הקצה.

    • ADDRESS_NAME: השם של הכתובת השמורה.

    • SERVICE_ATTACHMENT: ה-URI של קובץ השירות המצורף של ספק השירות. לדוגמה: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

הפניית עומסי עבודה לנקודות קצה של Private Service Connect

מגדירים משתני סביבה של שרת proxy כך שכל עומס עבודה ישתמש בכתובת ה-IP של נקודת קצה של Private Service Connect לתעבורת נתונים יוצאת.

לדוגמה, כדי להגדיר באופן זמני את משתני הסביבה HTTP_PROXY ו-HTTPS_PROXY לעומס עבודה בסביבת Linux או macOS, אפשר להשתמש בשורת הפקודה:

export HTTP_PROXY="http://ENDPOINT_IP_ADDRESS:HTTP_PORT"
export HTTPS_PROXY="https://ENDPOINT_IP_ADDRESS:HTTPS_PORT"

מחליפים את מה שכתוב בשדות הבאים:

  • ENDPOINT_IP_ADDRESS: כתובת ה-IP הפנימית של נקודת הקצה
  • HTTP_PORT: היציאה לקבלת תעבורת HTTP
  • HTTPS_PORT: היציאה לקבלת תנועת HTTPS

מידע על הגדרה קבועה של משתני proxy בסביבת העבודה זמין במסמכי מערכת ההפעלה.

מה השלב הבא?