Déployer le proxy Web sécurisé en tant que saut suivant

Par défaut, la valeur RoutingMode des instances SecureWebProxy est EXPLICIT_ROUTING_MODE, ce qui signifie que vous devez configurer vos charges de travail pour qu'elles envoient explicitement du trafic HTTP(S) au proxy Web sécurisé. Au lieu de configurer des clients individuels pour qu'ils pointent vers votre instance de proxy Web sécurisé, vous pouvez définir RoutingMode sur NEXT_HOP_ROUTING_MODE pour votre instance de proxy Web sécurisé. Vous pouvez ainsi définir des routes qui dirigent le trafic vers votre instance de proxy Web sécurisé.

Ce document explique comment configurer le routage de prochain saut avec le proxy Web sécurisé. Il suppose que vous disposez déjà d'une instance de proxy Web sécurisé dont l'RoutingMode est défini sur NEXT_HOP_ROUTING_MODE. Si vous ne disposez pas d'instance de proxy Web sécurisé, suivez les instructions du guide de démarrage rapide pour en créer une, en veillant à définir RoutingMode sur NEXT_HOP_ROUTING_MODE.

Une fois que vous avez créé un proxy Web sécurisé, vous pouvez configurer le routage statique ou le routage basé sur des règles pour votre saut suivant:

  • Les routes statiques dirigent le trafic au sein de votre réseau vers votre proxy Web sécurisé dans la même région. Pour configurer une route statique avec le proxy Web sécurisé en tant que saut suivant, vous devez configurer des tags réseau.
  • Les routes basées sur des règles vous permettent de diriger le trafic vers votre proxy Web sécurisé à partir d'une plage d'adresses IP source. Lorsque vous configurez une route basée sur des règles pour la première fois, vous devez également configurer une autre route basée sur des règles en tant que route par défaut.

Les sections suivantes expliquent comment créer des routes statiques et des routes basées sur des règles.

Créer des routes statiques

Pour acheminer le trafic vers votre instance de proxy Web sécurisé, vous pouvez configurer une route statique à l'aide de la commande gcloud compute routes create. Vous devez associer la route statique à une balise réseau et utiliser la même balise réseau pour toutes vos ressources sources afin de vous assurer que leur trafic est redirigé vers le proxy Web sécurisé. Les routes statiques ne vous permettent pas de définir une plage d'adresses IP source.

gcloud

Utilisez la commande suivante pour créer une route statique:

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT
 

Remplacez les éléments suivants :

  • STATIC_ROUTE_NAME: nom que vous souhaitez donner à votre route statique
  • NETWORK_NAME: nom de votre réseau
  • SWP_IP: adresse IP de votre instance SecureWebProxy.
  • DESTINATION_RANGE: plage d'adresses IP vers laquelle rediriger le trafic
  • PRIORITY: priorité de votre route. Les nombres plus élevés correspondent à une priorité plus faible.
  • TAGS: liste des tags que vous avez créés pour votre proxy Web sécurisé, séparés par une virgule
  • PROJECT : ID de votre projet.

Créer des routes basées sur des règles

Au lieu du routage statique, vous pouvez configurer une route basée sur des règles à l'aide de la commande network-connectivity policy-based-routes create. Vous devez également créer une route basée sur des règles pour qu'elle soit la route par défaut, ce qui active le routage par défaut pour le trafic entre les instances de machines virtuelles (VM) de votre réseau.

La priorité de la route qui active le routage par défaut doit être plus élevée (plus faible numériquement) que la priorité de la route basée sur des règles qui dirige le trafic vers l'instance du proxy Web sécurisé. Si vous créez la route basée sur des règles avec une priorité plus élevée que la route qui active le routage par défaut, elle a la priorité sur toutes les autres routes VPC.

Dans l'exemple suivant, vous allez créer une route basée sur des règles qui redirige le trafic vers votre instance de proxy Web sécurisé:

gcloud

Utilisez la commande suivante pour créer la route basée sur des règles:

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT
 

Remplacez les éléments suivants :

  • POLICY_BASED_ROUTE_NAME: nom souhaité pour votre route basée sur des règles
  • NETWORK_NAME: nom de votre réseau
  • SWP_IP: adresse IP de votre instance de proxy Web sécurisé
  • DESTINATION_RANGE: plage d'adresses IP vers laquelle rediriger le trafic
  • SOURCE_RANGE: plage d'adresses IP à partir de laquelle rediriger le trafic
  • PROJECT : ID de votre projet.

Ensuite, procédez comme suit pour créer la route basée sur des règles de routage par défaut:

gcloud

Utilisez la commande suivante pour créer la route basée sur des règles de routage par défaut:

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT
 

Remplacez les éléments suivants :

  • DEFAULT_POLICY_BASED_ROUTE_NAME: nom que vous souhaitez donner à votre route basée sur des règles
  • NETWORK_NAME: nom de votre réseau
  • DESTINATION_RANGE: plage d'adresses IP vers laquelle rediriger le trafic
  • SOURCE_RANGE: plage d'adresses IP à partir de laquelle rediriger le trafic
  • PROJECT : ID de votre projet.

Limites

  • Les instances SecureWebProxy avec RoutingMode défini sur NEXT_HOP_ROUTING_MODE ne prennent en charge que le trafic HTTP(S). Les autres types de trafic, ainsi que le trafic interrégional, sont abandonnés sans notification.
  • Lorsque vous utilisez next-hop-ilb, les limites qui s'appliquent aux équilibreurs de charge réseau passthrough internes s'appliquent aux sauts suivants si le saut suivant de destination est une instance de proxy Web sécurisé. Pour en savoir plus, consultez les tables des sauts suivants et des fonctionnalités des routes statiques.