默认情况下,SecureWebProxy
实例的 RoutingMode
值为 EXPLICIT_ROUTING_MODE
,这意味着您必须将工作负载配置为明确将 HTTP(S) 流量发送到安全 Web 代理。您可以将安全 Web 代理实例的 RoutingMode
设置为 NEXT_HOP_ROUTING_MODE
,而不是将各个客户端配置为指向安全 Web 代理实例,这样您就可以定义将流量定向到安全 Web 代理实例的路由。
本文档介绍了如何使用
安全 Web 代理。本文假定您已经拥有安全 Web 代理
其 RoutingMode
设置为 NEXT_HOP_ROUTING_MODE
。如果您没有现有的安全 Web 代理实例,请按照快速入门指南中的说明创建一个,并确保将 RoutingMode
设置为 NEXT_HOP_ROUTING_MODE
。
创建安全 Web 代理后,您可以为下一个跃点配置静态路由或基于政策的路由:
- 静态路由会将网络内的流量定向到同一区域内的安全 Web 代理。要设置使用安全 Web 代理作为 下一个跃点,则必须配置网络标记。
- 基于政策的路由可让您将流量从 来源 IP 地址范围首次配置基于政策的路由时,您还必须将另一个基于政策的路由配置为默认路由。
以下部分介绍了如何创建静态路由和基于政策的路由。
创建静态路由
如需将流量路由到安全 Web 代理实例,您可以使用 gcloud compute routes create
命令设置静态路由。您必须将静态路由与网络标记相关联,并在所有来源资源上使用相同的网络标记,以确保其流量会重定向到安全 Web 代理。静态路由不允许您定义
来源 IP 地址范围
gcloud
使用以下命令创建静态路由:
gcloud compute routes create STATIC_ROUTE_NAME \ --network=NETWORK_NAME \ --next-hop-ilb=SWP_IP \ --destination-range=DESTINATION_RANGE \ --priority=PRIORITY \ --tags=TAGS \ --project=PROJECT
替换以下内容:
STATIC_ROUTE_NAME
:您要为静态路线指定的名称NETWORK_NAME
:您的网络名称SWP_IP
:SecureWebProxy
实例的 IP 地址。DESTINATION_RANGE
:要指定到的 IP 地址范围 重定向流量PRIORITY
:路由的优先级;数字越大,优先级越低。TAGS
:您为安全 Web 代理创建的标记的逗号分隔列表PROJECT
:您的项目 ID
创建基于政策的路由
除了静态路由之外,您还可以设置基于政策的路由
使用 network-connectivity policy-based routes create
命令。您
需要创建一个基于政策的路由作为默认路由,
为虚拟机实例内虚拟机 (VM) 实例之间的
。
启用默认路由的路由的优先级必须高于(数值较低)将流量定向到安全 Web 代理实例的基于政策的路由的优先级。如果您创建基于政策的路由 比启用默认路由的路由的优先级更高,因此它会采用 优先级
在以下示例中,您将创建一个基于政策的路由,用于引导流量 连接到安全 Web 代理实例:
gcloud
使用以下命令创建基于政策的路由:
gcloud network-connectivity policy-based routes create POLICY_BASED_ROUTE_NAME \ --network="projects/PROJECT/global/networks/NETWORK_NAME" \ --next-hop-ilb-ip=SWP_IP \ --protocol-version="IPV4" \ --destination-range=DESTINATION_RANGE \ --source-range=SOURCE_RANGE \ --priority=2 \ --project=PROJECT
替换以下内容:
POLICY_BASED_ROUTE_NAME
:您想要使用的政策名称 基于路由NETWORK_NAME
:您的网络名称SWP_IP
:您的安全 Web 代理实例的 IP 地址DESTINATION_RANGE
:要指定到的 IP 地址范围 重定向流量SOURCE_RANGE
:要将流量重定向到的 IP 地址范围PROJECT
:您的项目 ID
接下来,请按照以下步骤创建基于政策的默认路由:
gcloud
使用以下命令创建基于默认路由政策的路由:
gcloud network-connectivity policy-based routes create DEFAULT_POLICY_BASED_ROUTE_NAME \ --network="projects/PROJECT/global/networks/NETWORK_NAME" \ --next-hop-other-routes="DEFAULT_ROUTING" \ --protocol-version="IPV4" \ --destination-range=DESTINATION_RANGE \ --source-range=SOURCE_RANGE \ --priority=1 \ --project=PROJECT
替换以下内容:
DEFAULT_POLICY_BASED_ROUTE_NAME
:您要使用的名称 基于政策的路由NETWORK_NAME
:您的网络名称DESTINATION_RANGE
:要指定到的 IP 地址范围 重定向流量SOURCE_RANGE
:要将流量重定向到的 IP 地址范围PROJECT
:您的项目 ID
限制
- 将安全 Web 代理用作下一个跃点的规则仅适用于启用了 TLS 检查的规则。不包含 TLS 检查的规则无法与
NEXT_HOP_ROUTING_MODE
中的安全 Web 代理实例搭配使用。如需详细了解 TLS 检查,请参阅 TLS 检查概览。 - 将
RoutingMode
设置为NEXT_HOP_ROUTING_MODE
的SecureWebProxy
实例仅支持 HTTP(S) 流量。其他类型的流量,以及跨区域的流量 流量将被丢弃,不会发出通知。 - 使用
next-hop-ilb
时,需遵循适用于内部直通式网络负载平衡器的限制 如果目标下一个跃点是安全 Web 代理,则应用于下一个跃点 实例。如需了解详情,请参阅静态路由的下一个跃点和功能表。