Unabhängig davon, ob Sie Secure Web Proxy im expliziten Proxymodus oder als Private Service Connect-Dienstanhang bereitstellen, müssen Sie die folgenden zusätzlichen Überlegungen beachten.
Interne IP-Adresse für Secure Web Proxy zuweisen
Secure Web Proxy weist nur regionale virtuelle IP-Adressen zu. Diese IP-Adressen sind nur in der zugewiesenen Region verfügbar. Secure Web Proxy-Instanzen werden in einer Region innerhalb eines VPC-Netzwerks (Virtual Private Cloud) bereitgestellt.
Weisen Sie der Secure Web Proxy-Instanz auf eine der folgenden Arten eine interne IP-Adresse zu:
- Geben Sie die Adresse im Feld Adresse an, während Sie die Secure Web Proxy-Instanz bereitstellen.
- Wenn keine Adresse angegeben ist, weist Secure Web Proxy automatisch eine IP-Adresse aus dem Subnetz zu, das Sie bei der Bereitstellung angeben.
- Wenn keine Adresse und kein Subnetz angegeben sind, weist Secure Web Proxy automatisch eine Adresse aus dem Standardnetzwerk innerhalb des ausgewählten VPC-Netzwerk zu.
Identitätsbasierte Richtlinienerzwingung für Secure Web Proxy konfigurieren
Secure Web Proxy verwendet cloudnative Identitätsinformationen für die Richtlinienerzwingung, wenn VM-Instanzen innerhalb derselben VPC Verbindungen initiieren. Wenn Sie Secure Web Proxy als Dienstanhang über VPC-Netzwerke hinweg konfigurieren, werden die folgenden Identitätstypen für die Richtlinienerzwingung unterstützt:
- Dienstkonten: Nicht menschliche Konten, die für den Dienstzugriff verwendet werden, müssen authentifiziert und autorisiert sein, um eine Verbindung zu Secure Web Proxy herzustellen.
- Sichere Tags: Diese Schlüssel/Wert-Paare, die bestimmten VPC-Netzwerken zugeordnet sind, können an verschiedene Entitäten wie Organisationen, Ordner oder Projekte angehängt werden. Secure Web Proxy-Richtlinien können sichere Tags verwenden, die mit dem Zweck GCE_FIREWALL gekennzeichnet sind und mit ihrer permanenten ID (z. B. tagValues/567890123456) abgerufen werden.
Cloud NAT für Secure Web Proxy konfigurieren
Verwenden Sie Cloud NAT-Konfigurationen für Secure Web Proxy-Bereitstellungen.
Standardkonfiguration
- Die sichere Web-Proxy-Infrastruktur nutzt einen Pool von Autoscaling-Proxys.
- Jeder Proxy verwendet eine oder mehrere öffentliche IPv4-Adressen, die von Cloud NAT abgerufen wurden.
- Cloud NAT skaliert und weist zusätzliche öffentliche IP-Adressen automatisch zu, wenn die Anzahl der Proxyinstanzen, die Traffic von Secure Web Proxy verarbeiten, geändert wird.
Diese dynamische Lösung ermöglicht nahtlose Traffic-Bursts ohne manuelle Infrastrukturanpassungen.
Benutzerdefinierte Zuweisung von IP-Adressen
Obwohl die automatische Skalierung von Cloud NAT der Standard ist, kann es in bestimmten Szenarien erforderlich sein, Secure Web Proxy einen bestimmten Satz öffentlicher IP-Adressen zuzuweisen.
Wenn bestimmte IP-Adressen für Firewall-Zulassungsrichtlinien mit den Anbietern geteilt werden, trägt das Zuweisen eines benutzerdefinierten Bereichs dazu bei, dass der Zugriff weiterhin möglich ist. Sie können das bereitgestellte Cloud NAT-Gateway ändern und einen Bereich öffentlicher IP-Adressen angeben.