명시적 프록시 모드를 사용하여 보안 웹 프록시를 배포할지 아니면 Private Service Connect 서비스 연결로 배포할지 여부에 따라 다음 추가 고려 사항에 유의하세요.
보안 웹 프록시의 내부 IP 주소 할당
보안 웹 프록시는 리전 가상 IP 주소만 할당합니다. 이러한 IP 주소는 할당된 리전에서만 사용할 수 있습니다. 보안 웹 프록시 인스턴스는 가상 프라이빗 클라우드(VPC) 네트워크 내의 리전에 프로비저닝됩니다.
다음 방법 중 하나를 사용하여 내부 IP 주소를 보안 웹 프록시 인스턴스에 할당합니다.
- 보안 웹 프록시 인스턴스를 프로비저닝할 때 주소 필드에 주소를 지정합니다.
- 주소를 지정하지 않으면 보안 웹 프록시가 프로비저닝 중에 사용자가 제공한 서브넷에서 하나의 IP 주소를 자동으로 할당합니다.
- 주소와 서브넷이 지정되지 않은 경우 보안 웹 프록시는 선택한 VPC 네트워크 내의 기본 네트워크에서 주소를 자동으로 할당합니다.
보안 웹 프록시용 ID 기반 정책 시행 구성
보안 웹 프록시는 동일한 VPC 내의 가상 머신(VM) 인스턴스가 연결을 시작할 때 정책 시행을 위해 클라우드 네이티브 ID 정보를 사용합니다. VPC 네트워크에서 보안 웹 프록시를 서비스 연결로 구성하면 정책 시행을 위해 다음 ID 유형이 지원됩니다.
- 서비스 계정: 서비스 액세스에 사용되는 인간이 아닌 계정은 보안 웹 프록시에 연결하도록 인증되고 승인되어야 합니다.
- 보안 태그: 특정 VPC 네트워크로 범위가 지정된 이러한 키-값 쌍은 조직, 폴더, 프로젝트와 같은 다양한 항목에 연결할 수 있습니다. 보안 웹 프록시 정책은 GCE_FIREWALL 목적으로 표시된 보안 태그를 사용하며 영구 ID(예: tagValues/567890123456)로 검색할 수 있습니다.
보안 웹 프록시용 Cloud NAT 구성
보안 웹 프록시 배포에 Cloud NAT 구성을 사용합니다.
표준 구성
- 보안 웹 프록시 인프라는 자동 확장 프록시 풀을 활용합니다.
- 각 프록시는 Cloud NAT에서 가져온 공개 IPv4 주소를 하나 이상 사용합니다.
- Cloud NAT는 보안 웹 프록시 트래픽을 제공하는 프록시 인스턴스 수가 변경됨에 따라 추가 공개 IP 주소를 자동으로 확장하고 할당합니다.
이 동적 솔루션을 사용하면 수동으로 인프라를 조정하지 않고도 트래픽 버스트를 원활하게 수행할 수 있습니다.
커스텀 IP 주소 할당
자동 확장 Cloud NAT가 표준이지만 특정 시나리오에서는 특정 공용 IP 주소 집합을 보안 웹 프록시에 할당해야 할 수 있습니다.
방화벽 허용 정책을 위해 특정 IP 주소를 공급업체와 공유하는 경우 커스텀 범위를 할당하면 지속적인 액세스를 보장하는 데 도움이 됩니다. 프로비저닝된 Cloud NAT 게이트웨이를 수정하고 공개 IP 주소 범위를 지정할 수 있습니다.