Standardmäßig haben SecureWebProxy Instanzen den Wert RoutingMode von
EXPLICIT_ROUTING_MODE, was bedeutet, dass Sie Ihre Arbeitslasten so konfigurieren müssen,
HTTP(S)-Traffic explizit an Secure Web Proxy gesendet wird. Anstelle von
Wenn Sie einzelne Clients so konfigurieren, dass sie auf Ihre Secure Web Proxy-Instanz verweisen,
kann RoutingMode Ihrer Secure Web Proxy-Instanz auf
Mit NEXT_HOP_ROUTING_MODE können Sie Routen definieren, an die
Ihrer Secure Web Proxy-Instanz.
In diesem Dokument wird beschrieben, wie Sie das Routing für den nächsten Hop mit
Secure Web Proxy. Es wird davon ausgegangen, dass Sie bereits einen Secure Web Proxy haben.
Instanz mit der RoutingMode auf NEXT_HOP_ROUTING_MODE gesetzt ist. Wenn Sie keine
bereits eine Secure Web Proxy-Instanz vorhanden ist, folgen Sie der Anleitung in der
dass Sie RoutingMode auf NEXT_HOP_ROUTING_MODE gesetzt haben.
Nachdem Sie einen Secure Web Proxy erstellt haben, können Sie Folgendes konfigurieren: statisches Routing oder richtlinienbasiertes Routing für Ihren nächsten Hop:
- Statische Routen leiten Traffic innerhalb Ihres Netzwerks an Ihren Secure Web Proxy weiter in derselben Region. So richten Sie eine statische Route mit Secure Web Proxy als müssen Sie Netzwerk-Tags konfigurieren.
- Mit richtlinienbasierten Routen können Sie Traffic von einem Quell-IP-Adressbereich. Wenn Sie eine richtlinienbasierte Route für die erste müssen Sie auch eine weitere richtlinienbasierte Route als Standardroute konfigurieren. Route.
In den folgenden Abschnitten wird erläutert, wie Sie statische Routen und richtlinienbasierte Routen erstellen. Routen planen.
Statische Routen erstellen
Wenn Sie Traffic an Ihre Secure Web Proxy-Instanz weiterleiten möchten, können Sie mit dem Befehl gcloud compute routes create eine statische Route einrichten. Sie müssen die statische Route mit einem Netzwerk-Tag verknüpfen und dasselbe Netzwerk-Tag für alle Quellressourcen verwenden, damit der Traffic an den Secure Web Proxy weitergeleitet wird. Bei statischen Routen können Sie keinen Quell-IP-Adressbereich definieren.
gcloud
Verwenden Sie den folgenden Befehl, um eine statische Route zu erstellen:
gcloud compute routes create STATIC_ROUTE_NAME \
--network=NETWORK_NAME \
--next-hop-ilb=SWP_IP \
--destination-range=DESTINATION_RANGE \
--priority=PRIORITY \
--tags=TAGS \
--project=PROJECT
Ersetzen Sie Folgendes:
STATIC_ROUTE_NAME: der Name, den Sie für die statische Website verwenden möchten RouteNETWORK_NAME: Name Ihres WerbenetzwerksSWP_IP: die IP-Adresse IhrerSecureWebProxy-Instanz.DESTINATION_RANGE: der Bereich der IP-Adressen, für die der Traffic weiterleitenPRIORITY: Priorität Ihrer Route höhere Zahlen sind niedriger Priorität haben.TAGS: eine durch Kommas getrennte Liste von Tags, die Sie für Ihr Sicherer Web-ProxyPROJECT: Ihre Projekt-ID.
Richtlinienbasierte Routen erstellen
Als Alternative zum statischen Routing können Sie mit dem Befehl network-connectivity policy-based routes create eine richtlinienbasierte Route einrichten. Außerdem
müssen Sie eine richtlinienbasierte Route als Standardroute erstellen,
Standardrouting für Traffic zwischen VM-Instanzen in Ihrem
Netzwerk.
Die Priorität der Route, über die Standardrouting muss höher sein (numerisch niedriger) als die Priorität der richtlinienbasierten Route, an die Secure Web Proxy-Instanz. Wenn Sie die richtlinienbasierte Route mit einer höheren Priorität als die Route erstellen, die das Standard-Routing aktiviert, hat sie Vorrang vor allen anderen VPC-Routen.
Im folgenden Beispiel erstellen Sie eine richtlinienbasierte Route, die Traffic weiterleitet. zu Ihrer Secure Web Proxy-Instanz:
gcloud
Verwenden Sie den folgenden Befehl, um die richtlinienbasierte Route zu erstellen:
gcloud network-connectivity policy-based routes create POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-ilb-ip=SWP_IP \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=2 \
--project=PROJECT
Ersetzen Sie Folgendes:
POLICY_BASED_ROUTE_NAME: der Name, den Sie für die Richtlinie verwenden möchten basierte RouteNETWORK_NAME: Ihr NetzwerknameSWP_IP: die IP-Adresse Ihrer Secure Web Proxy-InstanzDESTINATION_RANGE: Der Bereich der IP-Adressen, an die der Traffic weitergeleitet werden soll.SOURCE_RANGE: der Bereich der IP-Adressen, von denen die Weiterleitung erfolgen soll VerkehrPROJECT: Ihre Projekt-ID.
Führen Sie als Nächstes die folgenden Schritte aus, um die richtlinienbasierte Standardroute zu erstellen:
gcloud
Verwenden Sie den folgenden Befehl, um die richtlinienbasierte Standardroute für das Routing zu erstellen:
gcloud network-connectivity policy-based routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-other-routes="DEFAULT_ROUTING" \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=1 \
--project=PROJECT
Ersetzen Sie Folgendes:
DEFAULT_POLICY_BASED_ROUTE_NAME: der gewünschte Name für die richtlinienbasierte RouteNETWORK_NAME: Name Ihres WerbenetzwerksDESTINATION_RANGE: der Bereich der IP-Adressen, für die der Traffic weiterleitenSOURCE_RANGE: der Bereich der IP-Adressen, von denen die Weiterleitung erfolgen soll VerkehrPROJECT: Ihre Projekt-ID.
Beschränkungen
- Der Secure Web Proxy als nächster Hop funktioniert nur mit Regeln, für die die TLS-Prüfung aktiviert ist. Regeln ohne TLS-Prüfung können nicht verwendet werden
mit Secure Web Proxy-Instanzen in
NEXT_HOP_ROUTING_MODE. Weitere Informationen Informationen zur TLS-Prüfung finden Sie unter TLS-Prüfung – Übersicht SecureWebProxyInstanz mitRoutingModeaufNEXT_HOP_ROUTING_MODEfestgelegt unterstützen nur HTTP(S)-Traffic. Andere Arten von Traffic sowie regionsübergreifender Traffic wird ohne Benachrichtigung unterbrochen.- Wenn Sie
next-hop-ilbverwenden, die Einschränkungen für interne Passthrough-Network Load Balancer Auf nächste Hops anwenden, wenn der nächste Hop ein Secure Web Proxy ist Instanz. Weitere Informationen finden Sie in den Tabellen zu den nächsten Hops und Features für statischen Routen