Ob Sie Secure Web Proxy mit dem expliziten Proxymodus bereitstellen möchten oder als Anhang des Private Service Connect-Dienstes erhalten, beachten Sie Folgendes: zusätzliche Überlegungen.
Interne IP-Adresse für Secure Web Proxy zuweisen
Secure Web Proxy weist nur regionale virtuelle IP-Adressen zu. Diese IP-Adresse Adressen sind nur in der zugewiesenen Region verfügbar. Secure Web Proxy-Instanzen werden in einer Region innerhalb eines VPC-Netzwerks (Virtual Private Cloud) bereitgestellt.
Weisen Sie der Secure Web Proxy-Instanz auf eine der folgenden Arten eine interne IP-Adresse zu:
- Geben Sie die Adresse beim Bereitstellen der Secure Web Proxy-Instanz im Feld Address (Adresse) an.
- Wenn keine Adresse angegeben wird, weist Secure Web Proxy automatisch eine IP-Adresse aus dem von Ihnen bei der Bereitstellung angegebenen Subnetz zu.
- Wenn keine Adresse und kein Subnetz angegeben sind, weist der Secure Web Proxy automatisch eine Adresse aus dem Standardnetzwerk innerhalb des ausgewählten VPC-Netzwerks zu.
Identitätsbasierte Richtlinienerzwingung für Secure Web Proxy konfigurieren
Secure Web Proxy verwendet cloudnative Identitätsinformationen für Richtlinien Erzwingung, wenn VM-Instanzen innerhalb derselben VPC und Initiieren von Verbindungen. Wenn Sie Secure Web Proxy als Dienst konfigurieren in VPC-Netzwerken hinzufügen, gilt Folgendes: Für die Richtlinienerzwingung werden folgende Identitätstypen unterstützt:
- Dienstkonten: Konten, die nicht für den Zugriff auf den Dienst verwendet werden, müssen authentifiziert und autorisiert sein, um eine Verbindung zum sicheren Webproxy herzustellen.
- Sichere Tags: Diese Schlüssel/Wert-Paare, die auf bestimmte VPC-Netzwerke beschränkt sind, können verschiedenen Entitäten wie Organisationen, Ordnern oder Projekten zugeordnet werden. In Richtlinien für sichere Web-Proxys können sichere Tags mit dem Zweck GCE_FIREWALL verwendet werden. Sie werden anhand ihrer dauerhaften ID abgerufen (z. B. tagValues/567890123456).
Cloud NAT für Secure Web Proxy konfigurieren
Verwenden Sie Cloud NAT-Konfigurationen für Secure Web Proxy-Bereitstellungen.
Standardkonfiguration
- Die sichere Web-Proxy-Infrastruktur nutzt einen Pool von Autoscaling-Proxys.
- Jeder Proxy verwendet eine oder mehrere öffentliche IPv4-Adressen, die von Cloud NAT
- Cloud NAT skaliert automatisch und weist zusätzliche öffentliche IP-Adressen zu, wenn sich die Anzahl der Proxy-Instanzen ändert, die Secure Web Proxy-Traffic verarbeiten.
Diese dynamische Lösung ermöglicht nahtlose Traffic-Bursts ohne manuelle Infrastrukturanpassungen.
Benutzerdefinierte IP-Adresszuweisung
Das Autoscaling von Cloud NAT ist zwar der Standard, in bestimmten Szenarien kann es jedoch erforderlich sein, Zuweisen einer bestimmten Gruppe von öffentlichen IP-Adressen an Secure Web Proxy.
Wenn bestimmte IP-Adressen Firewall-Zulassungsrichtlinien und das Zuweisen eines benutzerdefinierten Bereichs sorgt dafür, dass der Zugriff weiterhin möglich ist. Sie können das bereitgestellte Cloud NAT-Gateway ändern und einen Bereich von öffentliche IP-Adressen.