Implantar o Secure Web Proxy como próximo salto

Por padrão, as instâncias SecureWebProxy têm um valor RoutingMode de EXPLICIT_ROUTING_MODE, o que significa que você precisa configurar seus workloads para enviar explicitamente o tráfego HTTP(S) ao Secure Web Proxy. Em vez de configurar clientes individuais para apontar para sua instância do Secure Web Proxy, você pode definir o RoutingMode da instância do Secure Web Proxy como NEXT_HOP_ROUTING_MODE, o que permite definir rotas que direcionam o tráfego para a instância do Secure Web Proxy.

Este documento descreve como configurar o roteamento de próximo salto com o Secure Web Proxy. Ele pressupõe que você já tem uma instância do Secure Web Proxy com o RoutingMode definido como NEXT_HOP_ROUTING_MODE. Se você não tiver uma instância do Secure Web Proxy, siga as instruções no guia de início rápido para criar uma. Certifique-se de definir o RoutingMode como NEXT_HOP_ROUTING_MODE.

Depois de criar um proxy seguro da Web, você pode configurar o roteamento estático ou o roteamento com base em políticas para o próximo salto:

  • As rotas estáticas direcionam o tráfego dentro da rede para o Proxy seguro da Web na mesma região. Para configurar uma rota estática com o Secure Web Proxy como um próximo salto, é necessário configurar tags de rede.
  • As rotas com base em políticas permitem direcionar o tráfego para o proxy seguro da Web de um intervalo de endereços IP de origem. Ao configurar uma rota com base em políticas pela primeira vez, você também precisa configurar outra rota com base em políticas para ser a rota padrão.

As seções a seguir explicam como criar rotas estáticas e rotas baseadas em políticas.

Criar rotas estáticas

Para rotear o tráfego para a instância do Secure Web Proxy, defina uma rota estática com o comando gcloud compute routes create. É necessário associar a rota estática a uma tag de rede e usar a mesma tag em todos os recursos de origem para garantir que o tráfego seja redirecionado para o Proxy seguro da Web. As rotas estáticas não permitem definir um intervalo de endereço IP de origem.

gcloud

Use o comando a seguir para criar uma rota estática:

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

Substitua:

  • STATIC_ROUTE_NAME: o nome que você quer para a rota estática.
  • NETWORK_NAME: o nome da rede
  • SWP_IP: o endereço IP da sua instância SecureWebProxy.
  • DESTINATION_RANGE: o intervalo de endereços IP para redirecionar o tráfego
  • PRIORITY: a prioridade da rota. Números maiores são de prioridade mais baixa.
  • TAGS: uma lista de tags separadas por vírgulas que você criou para o Proxy seguro da Web
  • PROJECT: ID do projeto;

Criar rotas com base em políticas

Como alternativa ao roteamento estático, é possível configurar uma rota baseada em políticas usando o comando network-connectivity policy-based-routes create. Você também precisa criar uma rota baseada em política para ser a padrão, o que ativa o roteamento padrão para o tráfego entre instâncias de máquina virtual (VM) na rede.

A prioridade da rota que ativa o roteamento padrão precisa ser maior (numericamente menor) do que a prioridade da rota baseada em política que direciona o tráfego para a instância do proxy da Web seguro. Se você criar a rota com base em políticas com uma prioridade mais alta do que a rota que ativa o roteamento padrão, ela terá prioridade sobre todas as outras rotas da VPC.

No exemplo abaixo, você cria uma rota com base em políticas que direciona o tráfego para a instância do Secure Web Proxy:

gcloud

Use o comando a seguir para criar a rota com base em políticas:

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

Substitua:

  • POLICY_BASED_ROUTE_NAME: o nome que você quer para a rota com base em políticas
  • NETWORK_NAME: o nome da rede
  • SWP_IP: o endereço IP da sua instância do proxy da Web seguro
  • DESTINATION_RANGE: o intervalo de endereços IP para redirecionar o tráfego
  • SOURCE_RANGE: o intervalo de endereços IP para redirecionar o tráfego
  • PROJECT: ID do projeto;

Em seguida, siga estas etapas para criar a rota com base na política de roteamento padrão:

gcloud

Use o comando a seguir para criar a rota com base na política de roteamento padrão:

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

Substitua:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: o nome que você quer para a rota com base em políticas
  • NETWORK_NAME: o nome da rede
  • DESTINATION_RANGE: o intervalo de endereços IP para redirecionar o tráfego
  • SOURCE_RANGE: o intervalo de endereços IP para redirecionar o tráfego
  • PROJECT: ID do projeto;

Limitações

  • As instâncias SecureWebProxy com RoutingMode definido como NEXT_HOP_ROUTING_MODE só são compatíveis com o tráfego HTTP(S). Outros tipos de tráfego, assim como o tráfego entre regiões, são descartados sem notificação.
  • Quando você usa next-hop-ilb, as limitações que se aplicam aos balanceadores de carga de rede de passagem interna se aplicam aos próximos saltos se o próximo salto de destino for uma instância de proxy da Web seguro. Para mais informações, consulte as tabelas de recursos e próximos saltos para rotas estáticas.