您是否选择使用显式代理模式部署安全 Web 代理 或作为 Private Service Connect 服务连接时,请注意以下几点: 。
为安全 Web 代理分配内部 IP 地址
安全 Web 代理仅分配区域级虚拟 IP 地址。这些 IP 地址 地址只能在已分配的区域使用。安全 Web 代理 实例在 Virtual Private Cloud (VPC) 内的区域中预配 。
为安全 Web 代理实例分配一个内部 IP 地址, 方法:
- 在配置 安全 Web 代理实例。
- 如果未指定地址,安全 Web 代理会自动分配一个 预配时提供的子网中的 IP 地址。
- 如果未指定地址和子网,系统会自动安全 Web 代理 分配来自选定网络内默认网络的地址 VPC 网络。
为安全 Web 代理配置基于身份的强制执行政策
安全 Web 代理使用云原生身份信息制定政策 当虚拟机 (VM) 实例在同一 VPC 内时强制执行 启动连接。将安全 Web 代理配置为服务后 跨 VPC 网络的连接, 身份类型支持政策强制执行:
- 服务账号:用于访问服务的非真人账号必须 通过身份验证并获得授权,可以连接到安全 Web 代理。
- 安全标记:这些键值对,作用域限定为 VPC 网络可以连接到各种实体 组织、文件夹或项目。安全 Web 代理政策可以使用 标有 GCE_FIREWALL 用途的安全标记,使用 其永久 ID(例如,tagValues/567890123456)。
为安全 Web 代理配置 Cloud NAT
使用 Cloud NAT 配置进行安全 Web 代理部署。
标准配置
- 安全 Web 代理基础架构利用自动扩缩代理池。
- 每个代理使用一个或多个从 Cloud NAT。
- Cloud NAT 可自动扩缩并分配额外的公共 IP 地址数量等于为安全 Web 代理提供服务的代理实例数量 流量的变化。
这种动态解决方案可实现无缝的流量爆发,而无需 手动调整基础设施。
自定义 IP 地址分配
虽然自动伸缩 Cloud NAT 是标准配置,但某些场景可能需要 为安全 Web 代理分配一组特定的公共 IP 地址。
如果特定 IP 地址已与供应商共享 防火墙允许政策,分配自定义范围有助于确保访问持续。 您可以修改预配的 Cloud NAT 网关,并指定 公共 IP 地址