Per impostazione predefinita, le istanze SecureWebProxy hanno un valore RoutingMode di
EXPLICIT_ROUTING_MODE, il che significa che devi configurare i tuoi carichi di lavoro in modo da
inviare esplicitamente il traffico HTTP(S) a Secure Web Proxy. Anziché
configurare i singoli client in modo che puntino all'istanza Secure Web Proxy, puoi impostare RoutingMode dell'istanza su
NEXT_HOP_ROUTING_MODE, in modo da definire i percorsi che indirizzano il traffico all'istanza Secure Web Proxy.
Questo documento descrive come configurare il routing di hop successivo con
Secure Web Proxy. Presuppone che tu abbia già un'istanza di Secure Web Proxy con RoutingMode impostato su NEXT_HOP_ROUTING_MODE. Se non hai un'istanza di Secure Web Proxy, segui le istruzioni riportate nella guida introduttiva per crearne una, assicurandoti di impostare RoutingMode su NEXT_HOP_ROUTING_MODE.
Dopo aver creato un Secure Web Proxy, puoi configurare il routing statico o il routing basato su criteri per l'hop successivo:
- Le route statiche indirizzano il traffico all'interno della rete al tuo Secure Web Proxy nella stessa regione. Per configurare una route statica con il proxy web sicuro come hop successivo, devi configurare i tag di rete.
- Le route basate su criteri ti consentono di indirizzare il traffico al tuo Secure Web Proxy da un intervallo di indirizzi IP di origine. Quando configuri un percorso basato su criteri per la prima volta, devi anche configurare un altro percorso basato su criteri come percorso predefinito.
Le sezioni seguenti spiegano come creare route statiche e route basate su criteri.
Crea route statiche
Per instradare il traffico all'istanza Secure Web Proxy, puoi configurare una route statica con il comando gcloud compute routes create. Devi associare la route statica a un tag di rete e utilizzare lo stesso tag di rete su tutte le risorse di origine per assicurarti che il loro traffico venga reindirizzato a Secure Web Proxy. Le route statiche non ti consentono di definire un intervallo di indirizzi IP di origine.
gcloud
Utilizza il seguente comando per creare una route statica:
gcloud compute routes create STATIC_ROUTE_NAME \
--network=NETWORK_NAME \
--next-hop-ilb=SWP_IP \
--destination-range=DESTINATION_RANGE \
--priority=PRIORITY \
--tags=TAGS \
--project=PROJECT
Sostituisci quanto segue:
STATIC_ROUTE_NAME: il nome che vuoi assegnare alla route staticaNETWORK_NAME: il nome della reteSWP_IP: l'indirizzo IP dell'istanzaSecureWebProxy.DESTINATION_RANGE: l'intervallo di indirizzi IP a cui indirizzare il trafficoPRIORITY: la priorità del percorso. I numeri più elevati hanno una priorità inferiore.TAGS: un elenco separato da virgole di tag che hai creato per il tuo Secure Web ProxyPROJECT: il tuo ID progetto
Crea route basate su criteri
In alternativa al routing statico, puoi configurare una route basata su criteri utilizzando il comando network-connectivity policy-based-routes create. Inoltre,
devi creare una route basata su criteri da impostare come route predefinita, che attiva il routing predefinito per il traffico tra le istanze di macchine virtuali (VM) all'interno della rete.
La priorità della route che abilita il routing predefinito deve essere superiore (numericamente inferiore) rispetto alla priorità della route basata su criteri che indirizza il traffico all'istanza Secure Web Proxy. Se crei la route basata su criteri con una priorità superiore a quella della route che abilita il routing predefinito, avrà la priorità su tutte le altre route del VPC.
Nel seguente esempio viene creata una route basata su criteri che indirizza il traffico all'istanza di Secure Web Proxy:
gcloud
Utilizza il seguente comando per creare la route basata su criteri:
gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-ilb-ip=SWP_IP \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=2 \
--project=PROJECT
Sostituisci quanto segue:
POLICY_BASED_ROUTE_NAME: il nome che vuoi assegnare alla route basata su criteriNETWORK_NAME: il nome della tua reteSWP_IP: l'indirizzo IP dell'istanza Secure Web ProxyDESTINATION_RANGE: l'intervallo di indirizzi IP a cui indirizzare il trafficoSOURCE_RANGE: l'intervallo di indirizzi IP da cui reindirizzare il trafficoPROJECT: il tuo ID progetto
A questo punto, segui questi passaggi per creare la route basata su criteri di routing predefinito:
gcloud
Utilizza il seguente comando per creare la route basata su criteri di routing predefinito:
gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-other-routes="DEFAULT_ROUTING" \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=1 \
--project=PROJECT
Sostituisci quanto segue:
DEFAULT_POLICY_BASED_ROUTE_NAME: il nome che vuoi assegnare alla route basata su criteriNETWORK_NAME: il nome della tua reteDESTINATION_RANGE: l'intervallo di indirizzi IP a cui indirizzare il trafficoSOURCE_RANGE: l'intervallo di indirizzi IP da cui reindirizzare il trafficoPROJECT: il tuo ID progetto
Limitazioni
- Secure Web Proxy come hop successivo funziona solo con le regole per le quali è abilitata l'ispezione TLS. Le regole senza ispezione TLS non possono essere utilizzate con le istanze di Secure Web Proxy in
NEXT_HOP_ROUTING_MODE. Per ulteriori informazioni sull'ispezione TLS, consulta la Panoramica dell'ispezione TLS. - Le istanze
SecureWebProxyconRoutingModeimpostato suNEXT_HOP_ROUTING_MODEsupportano solo il traffico HTTP(S). Altri tipi di traffico, nonché il traffico tra regioni, vengono ignorati senza avviso. - Quando utilizzi
next-hop-ilb, le limitazioni che si applicano ai bilanciatori del carico di rete passthrough interni si applicano agli hop successivi se l'hop successivo di destinazione è un'istanza di Secure Web Proxy. Per ulteriori informazioni, consulta le tabelle relative agli hop e alle funzionalità successivi per le route statiche.