Unabhängig davon, ob Sie Secure Web Proxy im expliziten Proxy-Modus oder als Private Service Connect-Dienstanhang bereitstellen, beachten Sie die folgenden zusätzlichen Hinweise.
Interne IP-Adresse für Secure Web Proxy zuweisen
Secure Web Proxy weist nur regionale virtuelle IP-Adressen zu. Diese IP-Adressen sind nur in der zugewiesenen Region verfügbar. Secure Web Proxy-Instanzen werden in einer Region innerhalb eines VPC-Netzwerks (Virtual Private Cloud) bereitgestellt.
Weisen Sie der Secure Web Proxy-Instanz auf eine der folgenden Arten eine interne IP-Adresse zu:
- Geben Sie die Adresse beim Bereitstellen der Secure Web Proxy-Instanz im Feld Address (Adresse) an.
- Wenn keine Adresse angegeben wird, weist Secure Web Proxy automatisch eine IP-Adresse aus dem von Ihnen bei der Bereitstellung angegebenen Subnetz zu.
- Wenn keine Adresse und kein Subnetz angegeben sind, weist der Secure Web Proxy automatisch eine Adresse aus dem Standardnetzwerk innerhalb des ausgewählten VPC-Netzwerk zu.
Identitätsbasierte Richtlinienerzwingung für Secure Web Proxy konfigurieren
Der Secure Web Proxy verwendet cloudnative Identitätsinformationen für die Richtliniendurchsetzung, wenn VM-Instanzen (virtuelle Maschinen) innerhalb derselben VPC Verbindungen initiieren. Wenn Sie den sicheren Webproxy als Dienstanhänge in VPC-Netzwerken konfigurieren, werden die folgenden Identitätstypen für die Richtliniendurchsetzung unterstützt:
- Dienstkonten: Konten, die nicht für den Zugriff auf den Dienst verwendet werden, müssen authentifiziert und autorisiert sein, um eine Verbindung zum sicheren Webproxy herzustellen.
- Sichere Tags: Diese Schlüssel/Wert-Paare, die auf bestimmte VPC-Netzwerke beschränkt sind, können verschiedenen Entitäten wie Organisationen, Ordnern oder Projekten zugeordnet werden. In Richtlinien für sichere Web-Proxys können sichere Tags mit dem Zweck GCE_FIREWALL verwendet werden. Sie werden anhand ihrer dauerhaften ID abgerufen (z. B. tagValues/567890123456).
Cloud NAT für Secure Web Proxy konfigurieren
Verwenden Sie Cloud NAT-Konfigurationen für Secure Web Proxy-Bereitstellungen.
Standardkonfiguration
- Die Secure Web Proxy-Infrastruktur nutzt einen Pool von Autoscaling-Proxys.
- Jeder Proxy verwendet eine oder mehrere öffentliche IPv4-Adressen, die von Cloud NAT abgerufen werden.
- Cloud NAT skaliert automatisch und weist zusätzliche öffentliche IP-Adressen zu, wenn sich die Anzahl der Proxy-Instanzen ändert, die Secure Web Proxy-Traffic verarbeiten.
Diese dynamische Lösung ermöglicht nahtlose Traffic-Spitzen, ohne dass manuelle Infrastrukturanpassungen erforderlich sind.
Benutzerdefinierte IP-Adresszuweisung
Die automatische Skalierung von Cloud NAT ist Standard. In bestimmten Fällen kann es jedoch erforderlich sein, dem Secure Web Proxy eine bestimmte Gruppe öffentlicher IP-Adressen zuzuweisen.
Wenn bestimmte IP-Adressen für Firewall-Zulassungsrichtlinien an Anbieter weitergegeben werden, kann durch die Zuweisung eines benutzerdefinierten Bereichs der Zugriff aufrechterhalten werden. Sie können das bereitgestellte Cloud NAT-Gateway ändern und einen Bereich öffentlicher IP-Adressen angeben.