Standardmäßig haben SecureWebProxy-Instanzen einen RoutingMode-Wert von EXPLICIT_ROUTING_MODE. Das bedeutet, dass Sie Ihre Arbeitslasten so konfigurieren müssen, dass HTTP(S)-Traffic explizit an den sicheren Webproxy gesendet wird. Anstatt einzelne Clients so zu konfigurieren, dass sie auf Ihre Secure Web Proxy-Instanz verweisen, können Sie die RoutingMode Ihrer Secure Web Proxy-Instanz auf NEXT_HOP_ROUTING_MODE festlegen. So können Sie Routen definieren, die den Traffic an Ihre Secure Web Proxy-Instanz weiterleiten.
In diesem Dokument wird beschrieben, wie Sie das Next-Hop-Routing mit Secure Web Proxy konfigurieren. Es wird davon ausgegangen, dass Sie bereits eine Secure Web Proxy-Instanz mit RoutingMode = NEXT_HOP_ROUTING_MODE haben. Wenn Sie noch keine Secure Web Proxy-Instanz haben, folgen Sie der Anleitung in der Kurzanleitung, um eine zu erstellen. Achten Sie dabei darauf, RoutingMode auf NEXT_HOP_ROUTING_MODE festzulegen.
Nachdem Sie einen sicheren Webproxy erstellt haben, können Sie entweder statisches Routing oder richtlinienbasiertes Routing für den nächsten Hop konfigurieren:
- Statische Routen leiten den Traffic innerhalb Ihres Netzwerks an Ihren sicheren Webproxy in derselben Region weiter. Wenn Sie eine statische Route mit Secure Web Proxy als nächsten Hop einrichten möchten, müssen Sie Netzwerk-Tags konfigurieren.
- Mit Richtlinienbasierten Routen können Sie Traffic aus einem Quell-IP-Adressbereich an Ihren Secure Web Proxy weiterleiten. Wenn Sie eine richtlinienbasierte Route zum ersten Mal konfigurieren, müssen Sie auch eine andere richtlinienbasierte Route als Standardroute konfigurieren.
In den folgenden Abschnitten wird beschrieben, wie Sie statische Routen und richtlinienbasierte Routen erstellen.
Statische Routen erstellen
Wenn Sie Traffic an Ihre Secure Web Proxy-Instanz weiterleiten möchten, können Sie mit dem Befehl gcloud compute routes create eine statische Route einrichten. Sie müssen die statische Route mit einem Netzwerk-Tag verknüpfen und dasselbe Netzwerk-Tag für alle Quellressourcen verwenden, damit der Traffic an den Secure Web Proxy weitergeleitet wird. Bei statischen Routen können Sie keinen Quell-IP-Adressbereich definieren.
gcloud
Verwenden Sie den folgenden Befehl, um eine statische Route zu erstellen:
gcloud compute routes create STATIC_ROUTE_NAME \
--network=NETWORK_NAME \
--next-hop-ilb=SWP_IP \
--destination-range=DESTINATION_RANGE \
--priority=PRIORITY \
--tags=TAGS \
--project=PROJECT
Ersetzen Sie Folgendes:
STATIC_ROUTE_NAME: Der gewünschte Name für die statische Route.NETWORK_NAME: Ihr NetzwerknameSWP_IP: die IP-Adresse IhrerSecureWebProxy-Instanz.DESTINATION_RANGE: der Bereich der IP-Adressen, an die der Traffic weitergeleitet werden sollPRIORITY: die Priorität der Route. Je höher die Zahl, desto niedriger die Priorität.TAGS: eine durch Kommas getrennte Liste von Tags, die Sie für Ihren sicheren Web-Proxy erstellt habenPROJECT: Ihre Projekt-ID.
Richtlinienbasierte Routen erstellen
Als Alternative zum statischen Routing können Sie mit dem Befehl network-connectivity policy-based-routes create eine richtlinienbasierte Route einrichten. Außerdem müssen Sie eine richtlinienbasierte Route als Standardroute erstellen, um das Standard-Routing für Traffic zwischen VM-Instanzen in Ihrem Netzwerk zu aktivieren.
Die Priorität der Route, die das Standard-Routing aktiviert, muss höher (numerisch niedriger) sein als die Priorität der richtlinienbasierten Route, die den Traffic an die Instanz des sicheren Web-Proxys weiterleitet. Wenn Sie die richtlinienbasierte Route mit einer höheren Priorität als die Route erstellen, die das Standard-Routing aktiviert, hat sie Vorrang vor allen anderen VPC-Routen.
Im folgenden Beispiel erstellen Sie eine richtlinienbasierte Route, die den Traffic an Ihre Instanz des sicheren Web-Proxys weiterleitet:
gcloud
Verwenden Sie den folgenden Befehl, um die richtlinienbasierte Route zu erstellen:
gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-ilb-ip=SWP_IP \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=2 \
--project=PROJECT
Ersetzen Sie Folgendes:
POLICY_BASED_ROUTE_NAME: Der gewünschte Name für die richtlinienbasierte RouteNETWORK_NAME: Ihr NetzwerknameSWP_IP: die IP-Adresse Ihrer Secure Web Proxy-InstanzDESTINATION_RANGE: der Bereich der IP-Adressen, an die der Traffic weitergeleitet werden sollSOURCE_RANGE: der IP-Adressbereich, von dem aus Traffic weitergeleitet werden sollPROJECT: Ihre Projekt-ID.
Führen Sie dann die folgenden Schritte aus, um die richtlinienbasierte Route für das Standard-Routing zu erstellen:
gcloud
Verwenden Sie den folgenden Befehl, um die richtlinienbasierte Standard-Routing-Route zu erstellen:
gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-other-routes="DEFAULT_ROUTING" \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=1 \
--project=PROJECT
Ersetzen Sie Folgendes:
DEFAULT_POLICY_BASED_ROUTE_NAME: der gewünschte Name für die richtlinienbasierte RouteNETWORK_NAME: Ihr NetzwerknameDESTINATION_RANGE: der Bereich der IP-Adressen, an die der Traffic weitergeleitet werden sollSOURCE_RANGE: der IP-Adressbereich, von dem aus Traffic weitergeleitet werden sollPROJECT: Ihre Projekt-ID.
Beschränkungen
SecureWebProxy-Instanzen mitRoutingModeaufNEXT_HOP_ROUTING_MODEfestgelegt unterstützen nur HTTP(S)-Traffic. Andere Arten von Traffic sowie regionenübergreifender Traffic werden ohne Benachrichtigung blockiert.- Wenn Sie
next-hop-ilbverwenden, gelten die Einschränkungen, die für interne Passthrough-Network-Load-Balancer gelten, für nächste Hops, wenn der Ziel-Next-Hop eine Secure Web Proxy-Instanz ist. Weitere Informationen finden Sie in den Tabellen zu nächsten Hops und Funktionen für statische Routen.