Esegui il deployment di Secure Web Proxy come hop successivo

Questa pagina fornisce una panoramica su come creare un criterio Secure Web Proxy e poi spiega come configurare il routing del next hop per l'istanza Secure Web Proxy. Inoltre, questa pagina descrive come configurare il routing statico o il routing basato su policy per l'hop successivo.

Per impostazione predefinita, le istanze SecureWebProxy hanno un valore RoutingMode di EXPLICIT_ROUTING_MODE, il che significa che devi configurare i tuoi carichi di lavoro in modo che inviino esplicitamente il traffico HTTP(S) a Secure Web Proxy. Anziché configurare i singoli client in modo che puntino all'istanza di Secure Web Proxy, puoi impostare RoutingMode dell'istanza di Secure Web Proxy come NEXT_HOP_ROUTING_MODE, il che ti consente di definire route che indirizzano il traffico all'istanza di Secure Web Proxy.

Configura il routing del next hop per Secure Web Proxy

Questa sezione descrive i passaggi per creare un criterio del proxy web sicuro e la procedura per eseguire il deployment dell'istanza di Secure Web Proxy come hop successivo.

Crea un criterio Secure Web Proxy

  1. Completa tutti i passaggi preliminari obbligatori.
  2. Crea un criterio Secure Web Proxy.
  3. Crea regole Secure Web Proxy.

Esegui il deployment dell'istanza di Secure Web Proxy come hop successivo

Console

  1. Nella console Google Cloud , vai alla pagina Proxy web.

    Vai a Proxy web

  2. Fai clic su Crea un proxy web sicuro.

  3. Inserisci un nome per il proxy web che vuoi creare, ad esempio myswp.

  4. Inserisci una descrizione del proxy web, ad esempio My new swp.

  5. Per Modalità di routing, seleziona l'opzione Hop successivo.

  6. Nell'elenco Regioni, seleziona la regione in cui vuoi creare il proxy web.

  7. Nell'elenco Rete, seleziona la rete in cui vuoi creare il proxy web.

  8. Nell'elenco Subnet, seleziona la subnet in cui vuoi creare il proxy web.

  9. (Facoltativo) Inserisci l'indirizzo IP di Secure Web Proxy. Puoi inserire un indirizzo IP dall'intervallo di indirizzi IP proxy web protetti che si trovano nella subnet creata nel passaggio precedente. Se non inserisci l'indirizzo IP, l'istanza di Secure Web Proxy sceglie automaticamente un indirizzo IP dalla subnet selezionata.

  10. Nell'elenco Certificato, seleziona il certificato da utilizzare per creare il proxy web.

  11. Nell'elenco Norma, seleziona la norma che hai creato per associare il proxy web.

  12. Fai clic su Crea.

Cloud Shell

  1. Crea il file gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443, 80]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

  2. Crea un'istanza di Secure Web Proxy.

    gcloud network-services gateways import swp1 \
  --source=gateway.yaml \
  --location=REGION

    Il deployment di un'istanza di Secure Web Proxy può richiedere diversi minuti.

Crea route per l'hop successivo

Dopo aver creato un'istanza di Secure Web Proxy, puoi configurare il routing statico o il routing basato su criteri per l'hop successivo:

  • Le route statiche indirizzano il traffico all'interno della rete all'istanza Secure Web Proxy nella stessa regione. Per configurare una route statica con Secure Web Proxy come hop successivo, devi configurare i tag di rete.
  • Le route basate su criteri consentono di indirizzare il traffico all'istanza Secure Web Proxy da un intervallo di indirizzi IP di origine. Quando configuri una route basata su criteri per la prima volta, devi configurare anche un'altra route basata su criteri come route predefinita.

Le due sezioni seguenti spiegano come creare route statiche e basate su policy.

Crea route statiche

Per instradare il traffico all'istanza di Secure Web Proxy, configura una route statica con il comando gcloud compute routes create. Devi associare la route statica a un tag di rete e utilizzare lo stesso tag di rete su tutte le risorse di origine per assicurarti che il loro traffico venga reindirizzato all'istanza di Secure Web Proxy. Le route statiche non consentono di definire un intervallo di indirizzi IP di origine.

Per ulteriori informazioni sul funzionamento delle route statiche in Google Cloud, vedi Route statiche.

gcloud

Utilizza il seguente comando per creare una route statica.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

Sostituisci quanto segue:

  • STATIC_ROUTE_NAME: il nome della route statica
  • NETWORK_NAME: il nome della tua rete
  • SWP_IP: indirizzo IP dell'istanza SecureWebProxy nella subnet specificata nel file gateway.yaml
  • DESTINATION_RANGE: intervallo di indirizzi IP a cui vuoi reindirizzare il traffico. Ad esempio, utilizza 0.0.0.0/0 per indirizzare tutto il traffico internet all'istanza di Secure Web Proxy
  • PRIORITY: priorità del percorso; i numeri più alti indicano una priorità inferiore. Assicurati che la priorità della route sia numericamente inferiore alla route internet predefinita, che in genere è 1000.
  • TAGS: elenco separato da virgole dei tag che utilizzerai con l'istanza Secure Web Proxy
  • PROJECT: l'ID del progetto

Crea una VM nella subnet appropriata con i tag di rete specificati nella route

gcloud compute instances create swp-nexthop-test-vm \
    --subnet=SUBNETWORK \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11 \
    --tags=TAGS

Sostituisci quanto segue:

  • SUBNETWORK: la subnet che hai configurato per il web proxy
  • ZONE: la zona dell'istanza VM di test
  • TAGS: elenco separato da virgole dei tag che utilizzerai con l'istanza Secure Web Proxy

Crea route basate su policy

In alternativa al routing statico, puoi configurare una route basata su policy utilizzando il comando network-connectivity policy-based-routes create. Devi anche creare una route basata su criteri che funga da route predefinita, il che consente il routing predefinito per il traffico tra le istanze di macchine virtuali (VM) all'interno della tua rete. Per saperne di più su come funzionano le route basate su policy in Google Cloud, consulta Routing basato su policy.

La priorità della route che attiva il routing predefinito deve essere superiore (numericamente inferiore) rispetto alla priorità della route basata su criteri che indirizza il traffico all'istanza di Secure Web Proxy. Se crei la route basata su criteri con una priorità superiore a quella della route che attiva il routing predefinito, questa ha la precedenza su tutte le altre route VPC.

Utilizza il seguente esempio per creare una route basata su policy che indirizzi il traffico all'istanza di Secure Web Proxy.

gcloud

Utilizza il seguente comando per creare la route basata su policy.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

Sostituisci quanto segue:

  • POLICY_BASED_ROUTE_NAME: il nome della route basata su policy
  • NETWORK_NAME: il nome della tua rete
  • SWP_IP: Indirizzo IP dell'istanza Secure Web Proxy
  • DESTINATION_RANGE: intervallo di indirizzi IP a cui vuoi reindirizzare il traffico
  • SOURCE_RANGE: intervallo di indirizzi IP da cui vuoi reindirizzare il traffico
  • PROJECT: l'ID del progetto

A questo punto, segui questi passaggi per creare la route basata su policy di routing predefinito.

gcloud

Utilizza il seguente comando per creare la route basata su policy di routing predefinita.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

Sostituisci quanto segue:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: il nome della route basata su policy
  • NETWORK_NAME: il nome della tua rete
  • DESTINATION_RANGE: intervallo di indirizzi IP a cui vuoi reindirizzare il traffico
  • SOURCE_RANGE: intervallo di indirizzi IP da cui vuoi reindirizzare il traffico
  • PROJECT: l'ID del progetto

Elenco di controllo post-deployment

Assicurati di completare le seguenti attività dopo aver configurato una route statica o una route basata su policy con l'istanza di Secure Web Proxy come hop successivo:

  • Verifica che esista una route predefinita al gateway internet.
  • Aggiungi il tag di rete corretto alla route statica che punta all'istanza di Secure Web Proxy come hop successivo.
  • Definisci una priorità appropriata per la route predefinita all'istanza Secure Web Proxy come hop successivo.
  • Poiché Secure Web Proxy è un servizio regionale, assicurati che il traffico client provenga dalla stessa regione dell'istanza di Secure Web Proxy.

Limitazioni

  • Le istanze SecureWebProxy con RoutingMode impostato su NEXT_HOP_ROUTING_MODE supportano il traffico proxy HTTP(S) e TCP. Altri tipi di traffico, incluso il traffico tra regioni, vengono eliminati senza notifica.
  • Quando utilizzi next-hop-ilb, le limitazioni applicabili ai bilanciatori del carico di rete passthrough interni si applicano agli hop successivi se l'hop successivo di destinazione è un'istanza Secure Web Proxy. Per ulteriori informazioni, consulta le tabelle dei next hop e delle funzionalità per le route statiche.
  • Tutto il traffico dalle macchine virtuali (VM), inclusi il traffico in background e gli aggiornamenti, che corrisponde alla route dell'hop successivo verrà indirizzato all'istanza di Secure Web Proxy.
  • Per una rete VPC in una regione, puoi eseguire il deployment di un solo Secure Web Proxy come istanza di hop successivo (SWPaNH).