Secure Web Proxy als Private Service Connect-Dienst veröffentlichen

Wenn Sie Ihre Secure Web Proxy-Bereitstellung in mehreren VPC-Netzwerken zentralisieren möchten, können Sie Secure Web Proxy über eine Private Service Connect-Dienstanlage verfügbar machen.

Die Bereitstellung von Secure Web Proxy mit Private Service Connect umfasst die folgenden Schritte:

  1. Erstellen Sie eine Richtlinie und Regeln für den sicheren Web-Proxy.
  2. Erstellen Sie eine Secure Web Proxy-Instanz, die Ihre Richtlinie verwendet.
  3. Erstellen Sie einen Dienstanhang, um die Secure Web Proxy-Instanz als Private Service Connect-Dienst zu veröffentlichen.
  4. Erstellen Sie in jedem VPC-Netzwerk, das eine Verbindung zu Secure Web Proxy herstellen muss, einen Private Service Connect-Nutzerendpunkt.
  5. Leiten Sie den ausgehenden Traffic Ihrer Arbeitslast an die zentralisierte Secure Web Proxy-Instanz in der Region weiter.
Bereitstellung von Secure Web Proxy im Private Service Connect-Dienstanhangmodus.
Wenn Sie Secure Web Proxy als Private Service Connect-Dienst veröffentlichen, können Sie die Verwaltung des ausgehenden Traffics für Arbeitslasten in mehreren VPC-Netzwerken zentralisieren. Zum Vergrößern klicken.

Hinweise

Bevor Sie die Schritte auf dieser Seite ausführen, müssen Sie die Schritte zur Ersteinrichtung ausführen.

Secure Web Proxy-Instanz erstellen und konfigurieren

In dieser Anleitung wird beschrieben, wie Sie eine Secure Web Proxy-Richtlinie und Regeln erstellen, die Traffic nach Sitzung abgleichen.

Informationen zum optionalen Konfigurieren der TLS-Prüfung finden Sie unter TLS-Prüfung aktivieren.

Informationen zum optionalen Konfigurieren des Abgleichs auf Anwendungsebene finden Sie unter Secure Web Proxy-Instanz erstellen und bereitstellen.

Secure Web Proxy-Richtlinie erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite SWP-Richtlinien auf.

    Zu den Richtlinien zum Löschen von Dienstdaten

  2. Klicken Sie auf Richtlinie erstellen.

  3. Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, z. B. myswppolicy.

  4. Geben Sie eine Beschreibung der Richtlinie ein.

  5. Wählen Sie in der Liste Regionen die Region aus, in der Sie die Webproxyrichtlinie erstellen möchten.

  6. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie eine policy.yaml-Datei.

    description: basic Secure Web Proxy policy
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Projekt-ID Ihres Projekts
    • REGION: die Region der Richtlinie

  2. Erstellen Sie eine Secure Web Proxy-Richtlinie basierend auf policy.yaml.

    gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

Regeln für Secure Web Proxy zu Ihrer Richtlinie hinzufügen

Konfigurieren Sie Regeln für sichere Web-Proxys, um ausgehenden Traffic von jeder Arbeitslast zuzulassen.

In diesem Abschnitt wird beschrieben, wie Sie eine Regel erstellen, um Traffic von Arbeitslasten zuzulassen, die durch ein Resource Manager-Tag oder ein Dienstkonto identifiziert werden. Informationen zum Abgleichen von Traffic auf andere Weise finden Sie in der CEL-Matcher-Sprachreferenz.

Console

  1. Rufen Sie in der Google Cloud Console die Seite SWP-Richtlinien auf.

    Zu den Richtlinien zum Löschen von Dienstdaten

  2. Klicken Sie auf den Namen Ihrer Richtlinie.

  3. So fügen Sie Regeln hinzu, damit Arbeitslasten auf das Internet zugreifen können:

    1. Klicken Sie auf Regel hinzufügen.
    2. Geben Sie eine Priorität ein. Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist.
    3. Geben Sie einen Namen ein.
    4. Geben Sie eine Beschreibung ein.
    5. Geben Sie einen Status ein.
    6. Wählen Sie unter Aktion die Option Zulassen aus.
    7. Klicken Sie auf Status und wählen Sie Aktiviert aus.

    8. Geben Sie im Abschnitt Sitzungsabgleich die Kriterien für den Abgleich der Sitzung an.

      • Wenn Sie beispielsweise Zugriffe auf google.com von Arbeitslasten mit der Resource Manager-Tag-Wert-ID tagValues/123456 zulassen möchten, geben Sie Folgendes ein:

        source.matchTag('tagValues/123456') && host() == 'google.com'

      • Wenn Sie Zugriffe auf google.com von Arbeitslasten zulassen möchten, die das Dienstkonto my-service-account@my-project.iam.gserviceaccount.com verwenden, geben Sie Folgendes ein:

        source.matchServiceAccount('my-service-account@my-project.iam.gserviceaccount.com') && host() == 'google.com'

    9. Klicken Sie auf Erstellen.

Cloud Shell

Führen Sie für jede Regel, die Sie hinzufügen möchten, die folgenden Schritte aus:

  1. Erstellen Sie eine rule.yaml-Datei und geben Sie die Kriterien für den Abgleich der Sitzung an.

    • Wenn Sie Traffic zu einer bestimmten Domain von Arbeitslasten zulassen möchten, die durch die ID des Resource Manager-Tag-Werts identifiziert werden, erstellen Sie die folgende Datei:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME
description: Allow traffic based on tag
enabled: true
priority: PRIORITY
basicProfile: ALLOW
sessionMatcher: source.matchTag('TAG_VALUE_ID') && host() == 'DOMAIN_NAME'

      Ersetzen Sie Folgendes:

      • PROJECT_ID: Projekt-ID Ihres Projekts
      • REGION: die Region Ihrer Richtlinie
      • RULE_NAME: der Name der Regel
      • PRIORITY: die Priorität der Regel. Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist.
      • TAG_VALUE_ID: Die Tag-Wert-ID der Arbeitslasten, für die Traffic zugelassen werden soll
      • DOMAIN_NAME: der Domainname, für den Traffic zugelassen werden soll

    • Wenn Sie Traffic zu einer bestimmten Domain von Arbeitslasten zulassen möchten, die ein Dienstkonto verwenden, erstellen Sie die folgende Datei:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME
description: Allow traffic based on service account
enabled: true
priority: PRIORITY
basicProfile: ALLOW
sessionMatcher: source.matchServiceAccount('SERVICE_ACCOUNT') && host() == 'DOMAIN_NAME'

      Ersetzen Sie SERVICE_ACCOUNT durch den Namen des Dienstkontos.

  2. Verwenden Sie den folgenden Befehl, um Ihre Richtlinie mit der in rule.yaml definierten Regel zu aktualisieren:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
   --source=rule.yaml \
   --location=REGION \
   --gateway-security-policy=policy1

Secure Web Proxy-Instanz bereitstellen

Stellen Sie eine Secure Web Proxy-Instanz im expliziten Routingmodus in dem VPC-Netzwerk (Virtual Private Cloud) bereit, das Sie für den ausgehenden Traffic verwenden möchten. Wenn Sie die Instanz erstellen, verknüpfen Sie sie mit der Richtlinie und den Regeln, die Sie in den vorherigen Schritten erstellt haben.

Beim Veröffentlichen von Secure Web Proxy mit einem Private Service Connect-Dienstanhang wird der Routingmodus „Nächster Hop“ nicht unterstützt.

Informationen zum Konfigurieren der Instanz finden Sie unter Webproxy einrichten. Sie müssen die anderen Schritte auf dieser Seite derzeit nicht ausführen.

Secure Web Proxy als Private Service Connect-Dienst in einem Hub-and-Spoke-Modell bereitstellen

In diesem Abschnitt wird beschrieben, wie Sie Secure Web Proxy als Private Service Connect-Dienst bereitstellen und dabei ein Hub-and-Spoke-Modell verwenden, um die Verwaltung des ausgehenden Traffics zu zentralisieren.

Secure Web Proxy als Private Service Connect-Dienst veröffentlichen

Wenn Sie Secure Web Proxy als Dienst veröffentlichen möchten, erstellen Sie ein Private Service Connect-Subnetz und einen Dienstanhang. Das Subnetz und der Dienstanhang müssen sich in derselben Region wie die Private Service Connect-Endpunkte befinden, über die auf den Dienstanhang zugegriffen wird.

Subnetz für Private Service Connect erstellen

So erstellen Sie ein Subnetz für Private Service Connect:

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf den Namen eines VPC-Netzwerks, um die zugehörige Seite VPC-Netzwerkdetails aufzurufen.

  3. Klicken Sie auf Subnetze.

  4. Klicken Sie auf Subnetz hinzufügen. Führen Sie im angezeigten Steuerfeld die folgenden Schritte aus:

    1. Geben Sie einen Namen an.
    2. Wählen Sie eine Region aus.
    3. Wählen Sie im Abschnitt Zweck die Option Private Service Connect aus.
    4. Wählen Sie für IP-Stack-Typ die Option IPv4 (einzelner Stack) oder IPv4 und IPv6 (Dual-Stack) aus.
    5. Geben Sie einen IPv4-Bereich ein. Beispiel: 10.10.10.0/24.
    6. Wenn Sie ein Dual-Stack-Subnetz erstellen, legen Sie den IPv6-Zugriffstyp auf Intern fest.
    7. Klicken Sie auf Hinzufügen.

Cloud Shell

Führen Sie einen der folgenden Schritte aus:

  • So erstellen Sie ein Nur-IPv4-Subnetz für Private Service Connect:

    gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME \
    --region=REGION \
    --range=SUBNET_RANGE \
    --purpose=PRIVATE_SERVICE_CONNECT

  • So erstellen Sie ein Dual-Stack-Private Service Connect-Subnetz:

    gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME \
    --region=REGION \
    --stack-type=IPV4_IPV6 \
    --ipv6-access-type=INTERNAL \
    --range=SUBNET_RANGE \
    --purpose=PRIVATE_SERVICE_CONNECT

Ersetzen Sie Folgendes:

  • SUBNET_NAME: der Name, der dem Subnetz zugewiesen werden soll.

  • NETWORK_NAME: der Name der VPC für das neue Subnetz.

  • REGION: die Region für das neue Subnetz. Dies muss dieselbe Region sein wie der Dienst, den Sie veröffentlichen.

  • SUBNET_RANGE: der IPv4-Adressbereich, der für das Subnetz verwendet werden soll, z. B. 10.10.10.0/24.

Dienstanhang erstellen

So veröffentlichen Sie Secure Web Proxy als Dienstanhang im zentralen (Hub-)VPC-Netzwerk:

In diesem Abschnitt wird beschrieben, wie Sie eine Dienstanhängevorrichtung erstellen, die alle Verbindungen automatisch akzeptiert. Informationen zur expliziten Genehmigung oder zu anderen Konfigurationsoptionen finden Sie unter Dienst mit expliziter Genehmigung veröffentlichen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf Dienst veröffentlichen.

  4. Wählen Sie im Abschnitt Zieldetails die Option Secure Web Proxy aus.

  5. Wählen Sie die Secure Web Proxy-Instanz aus, die Sie veröffentlichen möchten. Die Felder für Netzwerk und Region werden mit den Details für die ausgewählte Secure Web Proxy-Instanz ausgefüllt.

  6. Geben Sie unter Dienstname einen Namen für den Dienstanhang ein.

  7. Wählen Sie ein oder mehrere Private Service Connect-Subnetze für den Dienst aus. Die Liste wird mit Subnetzen aus dem VPC-Netzwerk der ausgewählten Secure Web Proxy-Instanz gefüllt.

  8. Wählen Sie im Bereich Verbindungseinstellung die Option Alle Verbindungen automatisch akzeptieren aus.

  9. Klicken Sie auf Dienst hinzufügen.

Cloud Shell

Führen Sie den Befehl gcloud compute service-attachments create aus.

gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \
    --target-service=SWP_INSTANCE_URI \
    --connection-preference=ACCEPT_AUTOMATIC \
    --nat-subnets=NAT_SUBNET_NAME \
    --region=REGION \
    --project=PROJECT \

Ersetzen Sie Folgendes:

  • SERVICE_ATTACHMENT_NAME: der Name des Dienstanhangs
  • SWP_INSTANCE_URI: Der URI der Secure Web Proxy-Instanz im folgenden Format: //networkservices.googleapis.com/projects/PROJECT_ID/locations/REGION/gateways/INSTANCE_NAME
  • NAT_SUBNET_NAME: der Name des Private Service Connect-Subnetzes
  • REGION: die Region der Secure Web Proxy-Bereitstellung
  • PROJECT: Das Projekt der Secure Web Proxy-Bereitstellung

Endpunkte erstellen

Erstellen Sie einen Endpunkt in jedem VPC-Netzwerk und jeder Region, in der ausgehender Traffic über die zentralisierte Secure Web Proxy-Instanz gesendet werden muss. Wiederholen Sie die folgenden Schritte für jeden Endpunkt, den Sie erstellen müssen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Verbundene Endpunkte.

  3. Klicken Sie auf Endpunkt verbinden.

  4. Wählen Sie für Ziel die Option Veröffentlichter Dienst aus.

  5. Geben Sie bei Zieldienst den URI des Dienstanhangs ein, zu dem Sie eine Verbindung herstellen möchten.

    Der URI des Dienstanhangs hat folgendes Format: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME.

  6. Geben Sie unter Endpunktname einen Namen für den Endpunkt ein.

  7. Wählen Sie ein Netzwerk für den Endpunkt aus.

  8. Wählen Sie ein Subnetzwerk für den Endpunkt aus.

  9. Wählen Sie eine IP-Adresse für den Endpunkt aus. Wenn Sie eine neue IP-Adresse benötigen, können Sie eine erstellen:

    1. Klicken Sie auf das Drop-down-Menü IP-Adresse und wählen Sie IP-Adresse erstellen aus.
    2. Geben Sie einen Namen und optional eine Beschreibung für die IP-Adresse ein.
    3. Wählen Sie eine IP-Version aus.

    4. Wenn Sie eine IPv4-Adresse erstellen, wählen Sie Automatisch zuweisen oder Selbst auswählen aus.

      Wenn Sie Selbst auswählen ausgewählt haben, geben Sie die benutzerdefinierte IP-Adresse ein, die Sie verwenden möchten.

    5. Klicken Sie auf Reservieren.

  10. Klicken Sie auf Endpunkt hinzufügen.

Cloud Shell

  1. Reservieren Sie eine interne IP-Adresse, die Sie dem Endpunkt zuweisen möchten.

    gcloud compute addresses create ADDRESS_NAME \
    --region=REGION \
    --subnet=SUBNET \
    --ip-version=IP_VERSION

    Ersetzen Sie dabei Folgendes:

    • ADDRESS_NAME: der Name, der der reservierten IP-Adresse zugewiesen werden soll.

    • REGION: die Region für die Endpunkt-IP-Adresse. Dies muss dieselbe Region sein, die den Dienstanhang des Diensterstellers enthält.

    • SUBNET: der Name des Subnetzes für die Endpunkt-IP-Adresse.

    • IP_VERSION: die IP-Version der IP-Adresse, entweder IPV4 oder IPV6. Standardmäßig ist IPV4 ausgewählt. Zum Angeben von IPV6 muss die IP-Adresse mit einem Subnetz mit einem internen IPv6-Adressbereich verbunden sein.

  2. Erstellen Sie eine Weiterleitungsregel, um den Endpunkt mit dem Dienstanhang des Diensterstellers zu verbinden.

    gcloud compute forwarding-rules create ENDPOINT_NAME \
   --region=REGION \
   --network=NETWORK_NAME \
   --address=ADDRESS_NAME \
   --target-service-attachment=SERVICE_ATTACHMENT

    Dabei gilt:

    • ENDPOINT_NAME: der Name, der dem Endpunkt zugewiesen werden soll.

    • REGION: die Region für den Endpunkt. Dies muss dieselbe Region sein, die den Dienstanhang des Diensterstellers enthält.

    • NETWORK_NAME: der Name des VPC-Netzwerks für den Endpunkt.

    • ADDRESS_NAME: der Name der reservierten Adresse.

    • SERVICE_ATTACHMENT: der URI des Dienstanhangs des Diensterstellers. Beispiel: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Arbeitslasten auf Private Service Connect-Endpunkte verweisen

Konfigurieren Sie Proxy-Umgebungsvariablen so, dass für ausgehenden Traffic in jeder Arbeitslast die IP-Adresse eines Private Service Connect-Endpunkts verwendet wird.

Für eine Arbeitslast in einer Linux- oder macOS-Umgebung können Sie beispielsweise die Befehlszeile verwenden, um die Umgebungsvariablen HTTP_PROXY und HTTPS_PROXY vorübergehend zu konfigurieren:

export HTTP_PROXY="http://ENDPOINT_IP_ADDRESS:HTTP_PORT"
export HTTPS_PROXY="https://ENDPOINT_IP_ADDRESS:HTTPS_PORT"

Ersetzen Sie Folgendes:

  • ENDPOINT_IP_ADDRESS: die interne IP-Adresse Ihres Endpunkts
  • HTTP_PORT: Der Port für den Empfang von HTTP-Traffic
  • HTTPS_PORT: Der Port für den Empfang von HTTPS-Traffic

Informationen zum dauerhaften Festlegen von Proxyvariablen in der Umgebung Ihrer Arbeitslasten finden Sie in der Dokumentation Ihres Betriebssystems.

Nächste Schritte