将安全 Web 代理部署为下一个跃点

默认情况下,SecureWebProxy 实例的 RoutingMode 值为 EXPLICIT_ROUTING_MODE,这意味着您必须将工作负载配置为明确将 HTTP(S) 流量发送到安全 Web 代理。您可以将安全 Web 代理实例的 RoutingMode 设置为 NEXT_HOP_ROUTING_MODE,而不是将各个客户端配置为指向安全 Web 代理实例,这样您就可以定义将流量定向到安全 Web 代理实例的路由。

本文档介绍了如何使用 安全 Web 代理。本文假定您已经拥有安全 Web 代理 其 RoutingMode 设置为 NEXT_HOP_ROUTING_MODE。如果您没有现有的安全 Web 代理实例,请按照快速入门指南中的说明创建一个,并确保将 RoutingMode 设置为 NEXT_HOP_ROUTING_MODE

创建安全 Web 代理后,您可以为下一个跃点配置静态路由基于政策的路由

  • 静态路由会将网络内的流量定向到同一区域内的安全 Web 代理。要设置使用安全 Web 代理作为 下一个跃点,则必须配置网络标记。
  • 基于政策的路由可让您将流量从 来源 IP 地址范围首次配置基于政策的路由时,您还必须将另一个基于政策的路由配置为默认路由。

以下部分介绍了如何创建静态路由和基于政策的路由。

创建静态路由

如需将流量路由到安全 Web 代理实例,您可以使用 gcloud compute routes create 命令设置静态路由。您必须将静态路由与网络标记相关联,并在所有来源资源上使用相同的网络标记,以确保其流量会重定向到安全 Web 代理。静态路由不允许您定义 来源 IP 地址范围

gcloud

使用以下命令创建静态路由:

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT
 

替换以下内容:

  • STATIC_ROUTE_NAME:您要为静态路线指定的名称
  • NETWORK_NAME:您的网络名称
  • SWP_IPSecureWebProxy 实例的 IP 地址。
  • DESTINATION_RANGE:要指定到的 IP 地址范围 重定向流量
  • PRIORITY:路由的优先级;数字越大,优先级越低。
  • TAGS:您为安全 Web 代理创建的标记的逗号分隔列表
  • PROJECT:您的项目 ID

创建基于政策的路由

除了静态路由之外,您还可以设置基于政策的路由 使用 network-connectivity policy-based routes create 命令。您 需要创建一个基于政策的路由作为默认路由, 为虚拟机实例内虚拟机 (VM) 实例之间的 。

启用默认路由的路由的优先级必须高于(数值较低)将流量定向到安全 Web 代理实例的基于政策的路由的优先级。如果您创建基于政策的路由 比启用默认路由的路由的优先级更高,因此它会采用 优先级

在以下示例中,您将创建一个基于政策的路由,用于引导流量 连接到安全 Web 代理实例:

gcloud

使用以下命令创建基于政策的路由:

gcloud network-connectivity policy-based routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT
 

替换以下内容:

  • POLICY_BASED_ROUTE_NAME:您想要使用的政策名称 基于路由
  • NETWORK_NAME:您的网络名称
  • SWP_IP:您的安全 Web 代理实例的 IP 地址
  • DESTINATION_RANGE:要指定到的 IP 地址范围 重定向流量
  • SOURCE_RANGE:要将流量重定向到的 IP 地址范围
  • PROJECT:您的项目 ID

接下来,请按照以下步骤创建基于政策的默认路由:

gcloud

使用以下命令创建基于默认路由政策的路由:

gcloud network-connectivity policy-based routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT
 

替换以下内容:

  • DEFAULT_POLICY_BASED_ROUTE_NAME:您要使用的名称 基于政策的路由
  • NETWORK_NAME:您的网络名称
  • DESTINATION_RANGE:要指定到的 IP 地址范围 重定向流量
  • SOURCE_RANGE:要将流量重定向到的 IP 地址范围
  • PROJECT:您的项目 ID

限制

  • 将安全 Web 代理用作下一个跃点的规则仅适用于启用了 TLS 检查的规则。不包含 TLS 检查的规则无法与 NEXT_HOP_ROUTING_MODE 中的安全 Web 代理实例搭配使用。如需详细了解 TLS 检查,请参阅 TLS 检查概览
  • RoutingMode 设置为 NEXT_HOP_ROUTING_MODESecureWebProxy 实例仅支持 HTTP(S) 流量。其他类型的流量,以及跨区域的流量 流量将被丢弃,不会发出通知。
  • 使用 next-hop-ilb 时,需遵循适用于内部直通式网络负载平衡器的限制 如果目标下一个跃点是安全 Web 代理,则应用于下一个跃点 实例。如需了解详情,请参阅静态路由的下一个跃点和功能表。