无论您选择使用显式代理模式还是作为 Private Service Connect 服务附件部署安全 Web 代理,请注意以下其他注意事项。
为安全 Web 代理分配内部 IP 地址
安全 Web 代理仅分配区域性虚拟 IP 地址。这些 IP 地址仅在指定区域内可用。安全 Web 代理实例在 Virtual Private Cloud (VPC) 网络中的某个区域中预配。
通过以下任一方式向安全 Web 代理实例分配内部 IP 地址:
- 在预配安全 Web 代理实例时,在“Address”(地址)字段中指定地址。
- 如果未指定地址,安全 Web 代理会在预配时自动从您提供的子网中分配一个 IP 地址。
- 如果未指定地址和子网,安全网站代理会自动从所选 VPC 网络中的默认网络分配地址。
为安全 Web 代理配置基于身份的政策强制执行
当同一 VPC 中的虚拟机 (VM) 实例发起连接时,安全 Web 代理会使用云原生身份信息来强制执行政策。将安全 Web 代理配置为跨 VPC 网络的服务附件时,政策强制执行支持以下身份类型:
- 服务账号:用于服务访问的非人类账号必须经过身份验证并获得授权,才能连接到安全 Web 代理。
- 安全标记:这些键值对的范围限定为特定 VPC 网络,可附加到组织、文件夹或项目等各种实体。安全网站代理政策可以使用标记为 GCE_FIREWALL 用途的安全标记,并使用其永久 ID(例如 tagValues/567890123456)检索这些标记。
为安全 Web 代理配置 Cloud NAT
为安全 Web 代理部署使用 Cloud NAT 配置。
标准配置
- 安全 Web 代理基础架构利用一组可自动扩缩的代理。
- 每个代理都使用从 Cloud NAT 获取的一个或多个公共 IPv4 地址。
- 随着处理安全 Web 代理流量的代理实例数量的变化,Cloud NAT 会自动扩缩并分配额外的公共 IP 地址。
这种动态解决方案可实现流量激增的无缝处理,而无需手动调整基础架构。
自定义 IP 地址分配
虽然自动伸缩 Cloud NAT 是标准做法,但在某些情况下,可能需要向安全 Web 代理分配一组特定的公共 IP 地址。
如果与供应商共享特定 IP 地址以实现防火墙允许政策,则分配自定义范围有助于确保持续访问。您可以修改已预配的 Cloud NAT 网关,并指定一个公共 IP 地址范围。