Por padrão, as instâncias SecureWebProxy
têm um valor RoutingMode
de
EXPLICIT_ROUTING_MODE
, o que significa que é preciso configurar as cargas de trabalho para
explicitamente o tráfego HTTP(S) para o Secure Web Proxy. Em vez de
configurar clientes individuais para apontar para sua instância do Secure Web Proxy,
pode definir o RoutingMode
da instância do Secure Web Proxy como
NEXT_HOP_ROUTING_MODE
, que permite definir rotas que direcionam o tráfego para
sua instância do Secure Web Proxy.
Este documento descreve como configurar o roteamento do próximo salto com
com o Secure Web Proxy. Ele pressupõe que você já tem uma instância do Secure Web Proxy
com o RoutingMode
definido como NEXT_HOP_ROUTING_MODE
. Se você não
tiver uma instância do Secure Web Proxy, siga as instruções
guia de início rápido para criar um, garantindo
que você defina RoutingMode
como NEXT_HOP_ROUTING_MODE
.
Depois de criar um Secure Web Proxy, você pode configurar o roteamento estático ou o roteamento com base em políticas para o próximo salto:
- As rotas estáticas direcionam o tráfego dentro da rede para o proxy seguro da Web na mesma região. Para configurar uma rota estática com o Secure Web Proxy como próximo salto, configure as tags de rede.
- As rotas com base em políticas permitem direcionar o tráfego para o proxy seguro da Web de um intervalo de endereços IP de origem. Quando você configura uma rota com base em políticas para a primeira é necessário configurar outra rota com base em políticas como padrão trajeto.
As seções a seguir explicam como criar rotas estáticas e modelos rotas de prioridade mais alta.
Criar rotas estáticas
Para rotear o tráfego para sua instância do Secure Web Proxy, você pode configurar
rota com o comando gcloud compute routes create
. Você deve associar o
uma rota estática com uma tag de rede e use
a mesma tag de rede em todos os seus recursos de origem para garantir que os
o tráfego é redirecionado para o Secure Web Proxy. As rotas estáticas não permitem definir
um intervalo de endereços IP de origem.
gcloud
Use o comando a seguir para criar uma rota estática:
gcloud compute routes create STATIC_ROUTE_NAME \ --network=NETWORK_NAME \ --next-hop-ilb=SWP_IP \ --destination-range=DESTINATION_RANGE \ --priority=PRIORITY \ --tags=TAGS \ --project=PROJECT
Substitua:
STATIC_ROUTE_NAME
: o nome que você quer para a imagem estática rotaNETWORK_NAME
: o nome da sua redeSWP_IP
: o endereço IP da sua instânciaSecureWebProxy
.DESTINATION_RANGE
: o intervalo de endereços IP para redirecionar o tráfegoPRIORITY
: a prioridade da rota. os números mais altos são menores prioridade.TAGS
: uma lista de tags separadas por vírgulas que você criou para o Proxy seguro da WebPROJECT
: ID do projeto
Criar rotas com base em políticas
Como alternativa ao roteamento estático, é possível configurar uma rota baseada em políticas
usando o comando network-connectivity policy-based routes create
. Você também
precisa criar uma rota com base em políticas para ser a padrão, o que permite
roteamento padrão do tráfego entre instâncias de máquina virtual (VM) na sua
em uma rede VPC.
A prioridade da rota que permite roteamento padrão precisa ser maior (numérica menor) que a prioridade da rota com base em políticas que direciona o tráfego para a instância do Secure Web Proxy. Se você criar a rota com base em políticas prioridade maior do que a rota que permite o roteamento padrão, prioridade sobre todas as outras rotas VPC.
No exemplo a seguir, você cria uma rota com base em políticas que direciona o tráfego à instância do Secure Web Proxy:
gcloud
Use o seguinte comando para criar a rota com base em políticas:
gcloud network-connectivity policy-based routes create POLICY_BASED_ROUTE_NAME \ --network="projects/PROJECT/global/networks/NETWORK_NAME" \ --next-hop-ilb-ip=SWP_IP \ --protocol-version="IPV4" \ --destination-range=DESTINATION_RANGE \ --source-range=SOURCE_RANGE \ --priority=2 \ --project=PROJECT
Substitua:
POLICY_BASED_ROUTE_NAME
: o nome que você quer para a rota com base em políticasNETWORK_NAME
: o nome da redeSWP_IP
: o endereço IP da sua instância do proxy da Web seguroDESTINATION_RANGE
: o intervalo de endereços IP para redirecionar o tráfegoSOURCE_RANGE
: o intervalo de endereços IP de onde o redirecionamento será feito. trânsitoPROJECT
: ID do projeto
Em seguida, use as etapas a seguir para criar a rota com base em política de roteamento padrão:
gcloud
Use o seguinte comando para criar a rota com base na política de roteamento padrão:
gcloud network-connectivity policy-based routes create DEFAULT_POLICY_BASED_ROUTE_NAME \ --network="projects/PROJECT/global/networks/NETWORK_NAME" \ --next-hop-other-routes="DEFAULT_ROUTING" \ --protocol-version="IPV4" \ --destination-range=DESTINATION_RANGE \ --source-range=SOURCE_RANGE \ --priority=1 \ --project=PROJECT
Substitua:
DEFAULT_POLICY_BASED_ROUTE_NAME
: o nome que você quer para sua rota com base em políticasNETWORK_NAME
: o nome da redeDESTINATION_RANGE
: o intervalo de endereços IP para o qual redirecionar tráfegoSOURCE_RANGE
: o intervalo de endereços IP de onde o redirecionamento será feito. trânsitoPROJECT
: ID do projeto
Limitações
- O Secure Web Proxy como próximo salto só funciona com regras que têm a inspeção
TLS ativada. Não é possível usar regras sem inspeção TLS
com instâncias do Secure Web Proxy em
NEXT_HOP_ROUTING_MODE
. Para mais informações sobre inspeção TLS, consulte Visão geral da inspeção de TLS. - As instâncias
SecureWebProxy
comRoutingMode
definido comoNEXT_HOP_ROUTING_MODE
só são compatíveis com o tráfego HTTP(S). Outros tipos de tráfego, bem como tráfego entre regiões é descartado sem notificação. - Quando você usa
next-hop-ilb
, as limitações que se aplicam aos balanceadores de carga de rede de passagem interna aplicar aos próximos saltos se o próximo salto de destino for um Secure Web Proxy instância. Para mais informações, consulte as tabelas de recursos e próximos saltos para rotas estáticas.