以 Secure Web Proxy 做為下一個躍點

本頁面將概略說明如何建立 Secure Web Proxy 政策,然後說明如何為 Secure Web Proxy 執行個體設定下一個躍點的路由。此外,本頁面也會說明如何為下一個躍點設定靜態路由依據政策的路由

根據預設,SecureWebProxy 執行個體的 RoutingMode 值為 EXPLICIT_ROUTING_MODE,這表示您必須設定工作負載,明確將 HTTP(S) 流量傳送至安全網頁 Proxy。您不必設定個別用戶端指向 Secure Web Proxy 執行個體,而是可以將 Secure Web Proxy 執行個體的 RoutingMode 設為 NEXT_HOP_ROUTING_MODE,定義將流量導向 Secure Web Proxy 執行個體的路徑。

設定 Secure Web Proxy 的下一個躍點轉送

本節說明如何建立 Secure Web Proxy 政策,以及如何將 Secure Web Proxy 執行個體部署為下一個躍點

建立 Secure Web Proxy 政策

  1. 完成所有必要的事前準備步驟
  2. 建立 Secure Web Proxy 政策
  3. 建立 Secure Web Proxy 規則

將 Secure Web Proxy 執行個體部署為下一個躍點

主控台

  1. 前往 Google Cloud 控制台的「Web Proxies」(網頁 Proxy) 頁面。

    前往「網路 Proxy」

  2. 按一下「建立安全無虞的網路 Proxy」

  3. 輸入要建立的網頁 Proxy 名稱,例如 myswp

  4. 輸入網頁 Proxy 的說明,例如 My new swp

  5. 在「轉送模式」中,選取「下一個躍點」選項。

  6. 在「區域」清單中,選取要建立網頁 Proxy 的區域。

  7. 在「Network」(網路) 清單中,選取要建立網頁 Proxy 的網路。

  8. 在「Subnetwork」(子網路) 清單中,選取要建立網頁 Proxy 的子網路。

  9. 選用:輸入 Secure Web Proxy IP 位址。您可以輸入安全網路 Proxy IP 位址範圍內的 IP 位址,該範圍位於您在上一個步驟中建立的子網路。如果您未輸入 IP 位址,Secure Web Proxy 執行個體會自動從所選子網路中選擇 IP 位址。

  10. 在「憑證」清單中,選取要用於建立網頁 Proxy 的憑證。

  11. 在「政策」清單中,選取您建立的政策,將網頁 Proxy 與該政策建立關聯。

  12. 點選「建立」

Cloud Shell

  1. 建立 gateway.yaml 檔案。

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

  2. 建立 Secure Web Proxy 執行個體。

    gcloud network-services gateways import swp1 \
  --source=gateway.yaml \
  --location=REGION

    部署 Secure Web Proxy 執行個體可能需要幾分鐘的時間。

為下一個躍點建立路徑

建立 Secure Web Proxy 執行個體後,您可以為下一個躍點設定靜態路徑策略路徑

  • 靜態路徑會將網路內的流量導向同一個地區的 Secure Web Proxy 執行個體。如要設定靜態路徑,並將 Secure Web Proxy 做為下一個躍點,您必須設定網路標記
  • 您可以透過以政策為依據的路徑,將流量從來源 IP 位址範圍導向 Secure Web Proxy 執行個體。首次設定政策型路徑時,您也必須設定另一個政策型路徑做為預設路徑。

以下兩節說明如何建立靜態路徑和以政策為準的路徑。

建立靜態路徑

如要將流量導向 Secure Web Proxy 執行個體,請使用 gcloud compute routes create 指令設定靜態路徑。您必須將靜態路由與網路標記建立關聯,並在所有來源資源上使用相同的網路標記,確保流量重新導向至 Secure Web Proxy 執行個體。靜態路徑無法定義來源 IP 位址範圍。

如要進一步瞭解靜態路徑在 Google Cloud中的運作方式,請參閱「靜態路徑」。

gcloud

使用下列指令建立靜態路徑。

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

更改下列內容:

  • STATIC_ROUTE_NAME:靜態路徑名稱
  • NETWORK_NAME:網路名稱
  • SWP_IPSecureWebProxy執行個體的 IP 位址
  • DESTINATION_RANGE:要將流量重新導向的 IP 位址範圍
  • PRIORITY:路徑的優先順序;數字越大,優先順序越低
  • TAGS:以半形逗號分隔的標記清單,您為 Secure Web Proxy 執行個體建立的標記
  • PROJECT:您的專案 ID

建立策略路徑

除了靜態路徑之外,您也可以使用 network-connectivity policy-based-routes create 指令設定政策型路徑。您也需要建立以政策為依據的路徑做為預設路徑,以便為網路內虛擬機器 (VM) 執行個體之間的流量啟用預設路徑。如要進一步瞭解策略路由在Google Cloud中的運作方式,請參閱「依據政策的轉送」。

啟用預設轉送的路徑優先順序必須高於 (數值較低) 將流量導向安全網頁 Proxy 執行個體的政策型路徑。如果您建立的策略路由優先順序高於啟用預設路由的路徑,該策略路由的優先順序就會高於所有其他 VPC 路由。

使用下列範例建立以政策為準的路由,將流量導向 Secure Web Proxy 執行個體。

gcloud

使用下列指令建立以政策為準的路由。

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

更改下列內容:

  • POLICY_BASED_ROUTE_NAME:以政策為依據的路徑名稱
  • NETWORK_NAME:網路名稱
  • SWP_IP:Secure Web Proxy 執行個體的 IP 位址
  • DESTINATION_RANGE:要將流量重新導向的 IP 位址範圍
  • SOURCE_RANGE:要重新導向流量的 IP 位址範圍
  • PROJECT:您的專案 ID

接著,請按照下列步驟建立以預設路徑策略為準的路徑。

gcloud

使用下列指令建立以策略為準的預設路由。

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

更改下列內容:

  • DEFAULT_POLICY_BASED_ROUTE_NAME:以策略為依據的路徑名稱
  • NETWORK_NAME:網路名稱
  • DESTINATION_RANGE:要將流量重新導向的 IP 位址範圍
  • SOURCE_RANGE:要重新導向流量的 IP 位址範圍
  • PROJECT:專案 ID

部署後檢查清單

設定靜態路徑以政策為準的路徑,並將 Secure Web Proxy 執行個體設為下一個躍點後,請務必完成下列工作:

  • 確認網際網路閘道有預設路徑
  • 在指向 Secure Web Proxy 執行個體做為下一個躍點的靜態路徑中,加入正確的網路標記
  • 為預設路徑定義適當的優先順序,將 Secure Web Proxy 執行個體做為下一個躍點。
  • 由於 Secure Web Proxy 是區域服務,請確保用戶端流量與 Secure Web Proxy 執行個體位於相同區域。

限制

  • SecureWebProxy 執行個體 (RoutingMode 設為 NEXT_HOP_ROUTING_MODE) 支援 HTTP(S) 和 TCP Proxy 流量。其他類型的流量 (包括跨區域流量) 會遭到捨棄,且不會收到通知。
  • 使用 next-hop-ilb 時,如果目的地下一個躍點是 Secure Web Proxy 執行個體,則適用於內部直通式網路負載平衡器的限制,也會套用至下一個躍點。詳情請參閱靜態路徑的下一個躍點和功能表格。
  • 凡是下一個躍點路徑相符的虛擬機器 (VM) 流量 (包括背景流量和更新),都會轉送至安全網路 Proxy 執行個體。
  • 在某個地區的 VPC 網路中,您只能部署一個 Secure Web Proxy 做為下一個中繼站 (SWPaNH) 執行個體。