Implementa el proxy web seguro como siguiente salto

De forma predeterminada, las instancias de SecureWebProxy tienen un valor RoutingMode de EXPLICIT_ROUTING_MODE, lo que significa que debes configurar tus cargas de trabajo para que envíen tráfico HTTP(S) de forma explícita al Proxy web seguro. En lugar de configurar clientes individuales para que apunten a tu instancia del Proxy web seguro, puede establecer el RoutingMode de tu instancia del Proxy web seguro en NEXT_HOP_ROUTING_MODE, que te permite definir rutas que dirigen el tráfico a tu instancia del Proxy web seguro.

En este documento, se describe cómo configurar el enrutamiento de próximo salto con el proxy web seguro. Se supone que ya tienes una instancia del Proxy web seguro con su RoutingMode establecida en NEXT_HOP_ROUTING_MODE. Si no tienes una instancia de Proxy web seguro, sigue las instrucciones de la guía de inicio rápido para crear una y asegúrate de establecer RoutingMode en NEXT_HOP_ROUTING_MODE.

Después de crear un proxy web seguro, puedes configurar el enrutamiento estático o el enrutamiento basado en políticas para tu próximo salto:

  • Las rutas estáticas dirigen el tráfico dentro de tu red a tu Proxy web seguro en la misma región. Para configurar una ruta estática con el Proxy web seguro como próximo salto, debes configurar etiquetas de red.
  • Las rutas basadas en políticas te permiten dirigir el tráfico a tu proxy web seguro desde un rango de direcciones IP de origen. Cuando configuras una ruta basada en políticas para la primera también debes configurar otra ruta basada en políticas para que sea la predeterminada ruta.

En las siguientes secciones, se explica cómo crear rutas estáticas y basadas en políticas rutas.

Crea rutas estáticas

Para enrutar el tráfico a tu instancia del Proxy web seguro, puedes configurar ruta con el comando gcloud compute routes create. Debes asociar el ruta estática con una etiqueta de red y usa la misma etiqueta de red en todos los recursos de origen para asegurarte de que su el tráfico se redirecciona al Proxy web seguro. Las rutas estáticas no te permiten definir un rango de direcciones IP de origen.

gcloud

Usa el siguiente comando para crear una ruta estática:

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT
 

Reemplaza lo siguiente:

  • STATIC_ROUTE_NAME: Es el nombre que deseas para tu ruta estática.
  • NETWORK_NAME: El nombre de tu red
  • SWP_IP: Es la dirección IP de tu instancia de SecureWebProxy.
  • DESTINATION_RANGE: El rango de direcciones IP al que se debe enviar redireccionamiento del tráfico
  • PRIORITY: La prioridad de tu ruta. los números más altos son menores prioridad.
  • TAGS: una lista de etiquetas separadas por comas que creaste para tu Proxy web seguro
  • PROJECT: El ID de tu proyecto

Crea rutas basadas en políticas

Como alternativa al enrutamiento estático, puedes configurar una ruta basada en políticas con el comando network-connectivity policy-based routes create. También necesitas crear una ruta basada en políticas para que sea la predeterminada, lo que permite para el tráfico entre instancias de máquina virtual (VM) dentro en cada red.

La prioridad de la ruta que habilita el enrutamiento predeterminado debe ser más alta (numéricamente más baja) que la prioridad de la ruta basada en políticas que dirige el tráfico a la instancia de proxy web seguro. Si creas la ruta basada en políticas con una prioridad más alta que la ruta que habilita el enrutamiento predeterminado, toma prioridad sobre todas las demás rutas de VPC.

En el siguiente ejemplo, creas una ruta basada en políticas que dirige el tráfico a tu instancia de Proxy web seguro:

gcloud

Usa el siguiente comando para crear la ruta basada en políticas:

gcloud network-connectivity policy-based routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT
 

Reemplaza lo siguiente:

  • POLICY_BASED_ROUTE_NAME: Es el nombre que deseas para tu política. ruta basada en
  • NETWORK_NAME: El nombre de tu red
  • SWP_IP: La dirección IP de tu instancia de proxy web seguro
  • DESTINATION_RANGE: El rango de direcciones IP al que se debe enviar redireccionamiento del tráfico
  • SOURCE_RANGE: El rango de direcciones IP desde las que se redireccionará tráfico
  • PROJECT: El ID de tu proyecto

A continuación, sigue estos pasos para crear la ruta basada en políticas de enrutamiento predeterminada:

gcloud

Usa el siguiente comando para crear la ruta basada en políticas de enrutamiento predeterminado:

gcloud network-connectivity policy-based routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT
 

Reemplaza lo siguiente:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: Es el nombre que deseas. la ruta basada en políticas
  • NETWORK_NAME: Es el nombre de la red.
  • DESTINATION_RANGE: Es el rango de direcciones IP al que se redireccionará el tráfico.
  • SOURCE_RANGE: El rango de direcciones IP desde las que se redireccionará tráfico
  • PROJECT: El ID de tu proyecto

Limitaciones

  • El Proxy web seguro como próximo salto solo funciona con reglas que tienen TLS la inspección habilitada. No se pueden usar reglas sin inspección de TLS con instancias del Proxy web seguro en NEXT_HOP_ROUTING_MODE. Para ver más más detallada sobre la inspección de TLS, consulta Descripción general de la inspección de TLS.
  • Las instancias de SecureWebProxy con RoutingMode establecido en NEXT_HOP_ROUTING_MODE solo admiten tráfico HTTP(S). Otros tipos de tráfico, así como el tráfico entre regiones, se descartan sin notificación.
  • Cuando uses next-hop-ilb, las limitaciones que se aplican a los balanceadores de cargas de red de transferencia internos aplicar a los próximos saltos si el próximo salto de destino es un Proxy web seguro instancia. Para obtener más información, consulta las tablas de próximos saltos y funciones de las rutas estáticas.