Secure Web Proxy を明示的なプロキシモードを使用してデプロイするか、Private Service Connect サービス アタッチメントとしてデプロイするかにかかわらず、次の追加の考慮事項に注意してください。
Secure Web Proxy に内部 IP アドレスを割り当てる
Secure Web Proxy は、リージョン仮想 IP アドレスのみを割り当てます。この IP アドレスは、割り当てられたリージョンでのみ使用できます。Secure Web Proxy インスタンスは、Virtual Private Cloud(VPC)ネットワーク内のリージョンにプロビジョニングされます。
次のいずれかの方法で、Secure Web Proxy インスタンスに内部 IP アドレスを割り当てます。
- Secure Web Proxy インスタンスをプロビジョニングするときに、[アドレス] フィールドにアドレスを指定します。
- アドレスが指定されていない場合、Secure Web Proxy はプロビジョニング時に指定したサブネットから 1 つの IP アドレスを自動的に割り当てます。
- アドレスとサブネットが指定されていない場合、Secure Web Proxy は、選択した VPC ネットワーク内にあるデフォルト ネットワークからアドレスを自動的に割り当てます。
Secure Web Proxy の ID ベースのポリシー適用を構成する
Secure Web Proxy では、同じ VPC 内の仮想マシン(VM)インスタンスが接続を開始するときに、ポリシーの適用にクラウドネイティブの ID 情報が使用されます。Secure Web Proxy を VPC ネットワーク間のサービス アタッチメントとして構成する場合、ポリシーの適用には次の ID タイプがサポートされます。
- サービス アカウント: サービス アクセスに使用される人間以外のアカウントは、Secure Web Proxy への接続が認証され、承認される必要があります。
- セキュアタグ: 特定の VPC ネットワークをスコープとするこれらの Key-Value ペアは、組織、フォルダ、プロジェクトなどのさまざまなエンティティに付加できます。Secure Web Proxy ポリシーでは、永続 ID(たとえば、tagValues/567890123456)を使用して取得した GCE_FIREWALL 目的でマークされたセキュアタグを使用できます。
Secure Web Proxy の Cloud NAT を構成する
Secure Web Proxy のデプロイに Cloud NAT 構成を使用します。
標準構成
- Secure Web Proxy インフラストラクチャは、自動スケーリング プロキシのプールを利用します。
- 各プロキシは、Cloud NAT から取得した 1 つ以上のパブリック IPv4 アドレスを使用します。
- Secure Web Proxy トラフィックの変更を処理するプロキシ インスタンスの数に応じて、Cloud NAT は自動的にスケーリングし、追加のパブリック IP アドレスを割り振ります。
この動的ソリューションにより、インフラストラクチャを手動で調整しなくても、シームレスなトラフィック バーストが可能になります。
カスタム IP アドレスの割り当て
Cloud NAT の自動スケーリングは標準ですが、特定のシナリオでは、Secure Web Proxy に特定の公開 IP アドレスのセットを割り当てる必要があります。
ファイアウォール許可ポリシーで特定の IP アドレスがベンダーと共有されている場合は、カスタム範囲を割り当てることで、アクセスを継続できます。プロビジョニングされた Cloud NAT ゲートウェイを変更して、パブリック IP アドレスの範囲を指定できます。