您是否选择使用显式代理模式部署安全 Web 代理 或作为 Private Service Connect 服务连接时,请注意以下几点: 。
为安全 Web 代理分配内部 IP 地址
安全 Web 代理仅分配区域级虚拟 IP 地址。这些 IP 地址 地址只能在已分配的区域使用。安全 Web 代理实例在 Virtual Private Cloud (VPC) 网络中的某个区域中预配。
通过以下任一方式向安全 Web 代理实例分配内部 IP 地址:
- 在预配安全 Web 代理实例时,在“Address”(地址)字段中指定地址。
- 如果未指定地址,安全 Web 代理会自动分配一个 预配时提供的子网中的 IP 地址。
- 如果未指定地址和子网,安全 Web 代理会自动从所选 VPC 网络中的默认网络分配地址。
为安全 Web 代理配置基于身份的政策强制执行
当同一 VPC 中的虚拟机 (VM) 实例发起连接时,安全 Web 代理会使用云原生身份信息来强制执行政策。将安全 Web 代理配置为服务后 跨 VPC 网络的连接, 身份类型支持政策强制执行:
- 服务账号:用于访问服务的非真人账号必须 通过身份验证并获得授权,可以连接到安全 Web 代理。
- 安全标记:这些键值对的范围限定为特定 VPC 网络,可附加到组织、文件夹或项目等各种实体。安全网站代理政策可以使用标记为 GCE_FIREWALL 用途的安全标记,并使用其永久 ID(例如 tagValues/567890123456)检索这些标记。
为安全 Web 代理配置 Cloud NAT
为安全 Web 代理部署使用 Cloud NAT 配置。
标准配置
- 安全 Web 代理基础架构利用一组可自动扩缩的代理。
- 每个代理使用一个或多个公共 IPv4 地址,该地址从 Cloud NAT。
- 随着处理安全 Web 代理流量的代理实例数量的变化,Cloud NAT 会自动扩缩并分配额外的公共 IP 地址。
这种动态解决方案可实现流量无缝突增,而无需手动调整基础架构。
自定义 IP 地址分配
虽然自动伸缩 Cloud NAT 是标准配置,但某些场景可能需要 为安全 Web 代理分配一组特定的公共 IP 地址。
如果特定 IP 地址已与供应商共享 防火墙允许政策,分配自定义范围有助于确保访问持续。 您可以修改已预配的 Cloud NAT 网关,并指定一个公共 IP 地址范围。