将安全 Web 代理部署为下一个跃点

默认情况下,SecureWebProxy 实例的 RoutingMode 值为 EXPLICIT_ROUTING_MODE,这意味着您必须将工作负载配置为明确将 HTTP(S) 流量发送到安全 Web 代理。您可以将安全 Web 代理实例的 RoutingMode 设置为 NEXT_HOP_ROUTING_MODE,而不是将各个客户端配置为指向安全 Web 代理实例,这样您就可以定义将流量定向到安全 Web 代理实例的路由。

本文档介绍了如何使用安全 Web 代理配置下一个跃点路由。本文假定您已经有一个安全 Web 代理实例,其 RoutingMode 已设置为 NEXT_HOP_ROUTING_MODE。如果您没有现有的安全 Web 代理实例,请按照快速入门指南中的说明创建一个,并确保将 RoutingMode 设置为 NEXT_HOP_ROUTING_MODE

创建安全 Web 代理后,您可以为下一个跃点配置静态路由基于政策的路由

  • 静态路由会将网络内的流量定向到同一区域内的安全 Web 代理。若要设置将安全 Web 代理作为下一个跃点的静态路由,您必须配置网络标记。
  • 借助基于政策的路由,您可以将来自来源 IP 地址范围的流量定向到安全 Web 代理。首次配置基于政策的路由时,您还必须将另一个基于政策的路由配置为默认路由。

以下部分介绍了如何创建静态路由和基于政策的路由。

创建静态路由

如需将流量路由到安全 Web 代理实例,您可以使用 gcloud compute routes create 命令设置静态路由。您必须将静态路由与网络标记相关联,并在所有来源资源上使用相同的网络标记,以确保将其流量重定向到安全 Web 代理。您无法使用静态路由定义来源 IP 地址范围。

gcloud

使用以下命令创建静态路由:

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

替换以下内容:

  • STATIC_ROUTE_NAME:您要为静态路线指定的名称
  • NETWORK_NAME:您的网络名称
  • SWP_IPSecureWebProxy 实例的 IP 地址。
  • DESTINATION_RANGE:要将流量重定向到的 IP 地址范围
  • PRIORITY:路由的优先级;数字越大,优先级越低。
  • TAGS:您为安全 Web 代理创建的标记的逗号分隔列表
  • PROJECT:您的项目 ID

创建基于政策的路由

作为静态路由的替代方案,您可以使用 network-connectivity policy-based-routes create 命令设置基于政策的路由。您还需要创建基于政策的路由作为默认路由,以便为网络中虚拟机 (VM) 实例之间的流量启用默认路由。

启用默认路由的路由的优先级必须高于(数值较低)将流量定向到安全 Web 代理实例的基于政策的路由的优先级。如果您创建的基于政策的路由的优先级高于启用默认路由的路由,则该路由的优先级高于所有其他 VPC 路由。

在以下示例中,您将创建一条基于政策的路由,将流量定向到安全 Web 代理实例:

gcloud

使用以下命令创建基于政策的路由:

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

替换以下内容:

  • POLICY_BASED_ROUTE_NAME:您要为基于政策的路由指定的名称
  • NETWORK_NAME:您的网络名称
  • SWP_IP:安全 Web 代理实例的 IP 地址
  • DESTINATION_RANGE:要将流量重定向到的 IP 地址范围
  • SOURCE_RANGE:要将流量重定向到的 IP 地址范围
  • PROJECT:您的项目 ID

接下来,请按照以下步骤创建基于政策的默认路由:

gcloud

使用以下命令创建基于默认路由政策的路由:

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

替换以下内容:

  • DEFAULT_POLICY_BASED_ROUTE_NAME:您要为基于政策的路由指定的名称
  • NETWORK_NAME:您的网络名称
  • DESTINATION_RANGE:要将流量重定向到的 IP 地址范围
  • SOURCE_RANGE:要将流量重定向到的 IP 地址范围
  • PROJECT:您的项目 ID

限制

  • RoutingMode 设置为 NEXT_HOP_ROUTING_MODESecureWebProxy 实例仅支持 HTTP(S) 流量。系统会丢弃其他类型的流量以及跨区域流量,而不会发出通知。
  • 使用 next-hop-ilb 时,如果目标下一个跃点是安全 Web 代理实例,则适用于内部直通式网络负载平衡器的限制也适用于下一个跃点。如需了解详情,请参阅静态路由的下一个跃点和功能表。