De forma predeterminada, las instancias de SecureWebProxy tienen un valor RoutingMode de EXPLICIT_ROUTING_MODE, lo que significa que debes configurar tus cargas de trabajo para que envíen tráfico HTTP(S) de forma explícita al Proxy web seguro. En lugar de
configurar clientes individuales para que apunten a tu instancia del Proxy web seguro,
puede establecer el RoutingMode de tu instancia del Proxy web seguro en
NEXT_HOP_ROUTING_MODE, que te permite definir rutas que dirigen el tráfico a
tu instancia del Proxy web seguro.
En este documento, se describe cómo configurar el enrutamiento de próximo salto con el proxy web seguro. Se supone que ya tienes una instancia del Proxy web seguro con su RoutingMode establecida en NEXT_HOP_ROUTING_MODE. Si no tienes una instancia de Proxy web seguro, sigue las instrucciones de la guía de inicio rápido para crear una y asegúrate de establecer RoutingMode en NEXT_HOP_ROUTING_MODE.
Después de crear un proxy web seguro, puedes configurar el enrutamiento estático o el enrutamiento basado en políticas para tu próximo salto:
- Las rutas estáticas dirigen el tráfico dentro de tu red a tu Proxy web seguro en la misma región. Para configurar una ruta estática con el Proxy web seguro como próximo salto, debes configurar etiquetas de red.
- Las rutas basadas en políticas te permiten dirigir el tráfico a tu proxy web seguro desde un rango de direcciones IP de origen. Cuando configuras una ruta basada en políticas para la primera también debes configurar otra ruta basada en políticas para que sea la predeterminada ruta.
En las siguientes secciones, se explica cómo crear rutas estáticas y basadas en políticas rutas.
Crea rutas estáticas
Para enrutar el tráfico a tu instancia del Proxy web seguro, puedes configurar
ruta con el comando gcloud compute routes create. Debes asociar el
ruta estática con una etiqueta de red y usa
la misma etiqueta de red en todos los recursos de origen para asegurarte de que su
el tráfico se redirecciona al Proxy web seguro. Las rutas estáticas no te permiten definir
un rango de direcciones IP de origen.
gcloud
Usa el siguiente comando para crear una ruta estática:
gcloud compute routes create STATIC_ROUTE_NAME \
--network=NETWORK_NAME \
--next-hop-ilb=SWP_IP \
--destination-range=DESTINATION_RANGE \
--priority=PRIORITY \
--tags=TAGS \
--project=PROJECT
Reemplaza lo siguiente:
STATIC_ROUTE_NAME: Es el nombre que deseas para tu ruta estática.NETWORK_NAME: El nombre de tu redSWP_IP: Es la dirección IP de tu instancia deSecureWebProxy.DESTINATION_RANGE: El rango de direcciones IP al que se debe enviar redireccionamiento del tráficoPRIORITY: La prioridad de tu ruta. los números más altos son menores prioridad.TAGS: una lista de etiquetas separadas por comas que creaste para tu Proxy web seguroPROJECT: El ID de tu proyecto
Crea rutas basadas en políticas
Como alternativa al enrutamiento estático, puedes configurar una ruta basada en políticas con el comando network-connectivity policy-based routes create. También
necesitas crear una ruta basada en políticas para que sea la predeterminada, lo que permite
para el tráfico entre instancias de máquina virtual (VM) dentro
en cada red.
La prioridad de la ruta que habilita el enrutamiento predeterminado debe ser más alta (numéricamente más baja) que la prioridad de la ruta basada en políticas que dirige el tráfico a la instancia de proxy web seguro. Si creas la ruta basada en políticas con una prioridad más alta que la ruta que habilita el enrutamiento predeterminado, toma prioridad sobre todas las demás rutas de VPC.
En el siguiente ejemplo, creas una ruta basada en políticas que dirige el tráfico a tu instancia de Proxy web seguro:
gcloud
Usa el siguiente comando para crear la ruta basada en políticas:
gcloud network-connectivity policy-based routes create POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-ilb-ip=SWP_IP \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=2 \
--project=PROJECT
Reemplaza lo siguiente:
POLICY_BASED_ROUTE_NAME: Es el nombre que deseas para tu política. ruta basada enNETWORK_NAME: El nombre de tu redSWP_IP: La dirección IP de tu instancia de proxy web seguroDESTINATION_RANGE: El rango de direcciones IP al que se debe enviar redireccionamiento del tráficoSOURCE_RANGE: El rango de direcciones IP desde las que se redireccionará tráficoPROJECT: El ID de tu proyecto
A continuación, sigue estos pasos para crear la ruta basada en políticas de enrutamiento predeterminada:
gcloud
Usa el siguiente comando para crear la ruta basada en políticas de enrutamiento predeterminado:
gcloud network-connectivity policy-based routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-other-routes="DEFAULT_ROUTING" \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=1 \
--project=PROJECT
Reemplaza lo siguiente:
DEFAULT_POLICY_BASED_ROUTE_NAME: Es el nombre que deseas. la ruta basada en políticasNETWORK_NAME: Es el nombre de la red.DESTINATION_RANGE: Es el rango de direcciones IP al que se redireccionará el tráfico.SOURCE_RANGE: El rango de direcciones IP desde las que se redireccionará tráficoPROJECT: El ID de tu proyecto
Limitaciones
- El Proxy web seguro como próximo salto solo funciona con reglas que tienen TLS
la inspección habilitada. No se pueden usar reglas sin inspección de TLS
con instancias del Proxy web seguro en
NEXT_HOP_ROUTING_MODE. Para ver más más detallada sobre la inspección de TLS, consulta Descripción general de la inspección de TLS. - Las instancias de
SecureWebProxyconRoutingModeestablecido enNEXT_HOP_ROUTING_MODEsolo admiten tráfico HTTP(S). Otros tipos de tráfico, así como el tráfico entre regiones, se descartan sin notificación. - Cuando uses
next-hop-ilb, las limitaciones que se aplican a los balanceadores de cargas de red de transferencia internos aplicar a los próximos saltos si el próximo salto de destino es un Proxy web seguro instancia. Para obtener más información, consulta las tablas de próximos saltos y funciones de las rutas estáticas.