Men-deploy Secure Web Proxy sebagai next hop

Secara default, instance SecureWebProxy memiliki nilai RoutingMode sebesar EXPLICIT_ROUTING_MODE, yang berarti Anda harus mengonfigurasi beban kerja untuk mengirim traffic HTTP(S) secara eksplisit ke Secure Web Proxy. Daripada mengonfigurasi setiap klien untuk mengarah ke instance Secure Web Proxy, Anda dapat menetapkan RoutingMode instance Secure Web Proxy ke NEXT_HOP_ROUTING_MODE, yang memungkinkan Anda menentukan rute yang mengarahkan traffic ke instance Secure Web Proxy.

Dokumen ini menjelaskan cara mengonfigurasi pemilihan rute next hop dengan Secure Web Proxy. Hal ini mengasumsikan bahwa Anda sudah memiliki instance Proxy Web Aman dengan RoutingMode yang ditetapkan ke NEXT_HOP_ROUTING_MODE. Jika Anda tidak memiliki instance Secure Web Proxy, ikuti petunjuk dalam panduan memulai untuk membuatnya, dengan memastikan bahwa Anda menetapkan RoutingMode ke NEXT_HOP_ROUTING_MODE.

Setelah membuat Secure Web Proxy, Anda dapat mengonfigurasi pemilihan rute statis atau pemilihan rute berbasis kebijakan untuk next hop:

  • Rute statis mengarahkan traffic dalam jaringan Anda ke Secure Web Proxy di region yang sama. Untuk menyiapkan rute statis dengan Secure Web Proxy sebagai hop berikutnya, Anda harus mengonfigurasi tag jaringan.
  • Dengan rute berbasis kebijakan, Anda dapat mengarahkan traffic ke Secure Web Proxy dari rentang alamat IP sumber. Saat mengonfigurasi rute berbasis kebijakan untuk pertama kali, Anda juga harus mengonfigurasi rute berbasis kebijakan lain sebagai rute default.

Bagian berikut menjelaskan cara membuat rute statis dan rute berbasis kebijakan.

Membuat rute statis

Untuk merutekan traffic ke instance Secure Web Proxy, Anda dapat menyiapkan rute statis dengan perintah gcloud compute routes create. Anda harus mengaitkan rute statis dengan tag jaringan, dan menggunakan tag jaringan yang sama di semua resource sumber untuk membantu memastikan traffic-nya dialihkan ke Secure Web Proxy. Rute statis tidak memungkinkan Anda menentukan rentang alamat IP sumber.

gcloud

Gunakan perintah berikut untuk membuat rute statis:

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

Ganti kode berikut:

  • STATIC_ROUTE_NAME: nama yang Anda inginkan untuk rute statis Anda
  • NETWORK_NAME: nama jaringan Anda
  • SWP_IP: alamat IP instance SecureWebProxy Anda.
  • DESTINATION_RANGE: rentang alamat IP yang akan mengalihkan traffic
  • PRIORITY: prioritas rute Anda; angka yang lebih tinggi memiliki prioritas yang lebih rendah.
  • TAGS: daftar tag yang dipisahkan koma yang Anda buat untuk Secure Web Proxy
  • PROJECT: project ID Anda

Membuat rute berbasis kebijakan

Sebagai alternatif untuk pemilihan rute statis, Anda dapat menyiapkan rute berbasis kebijakan menggunakan perintah network-connectivity policy-based-routes create. Anda juga harus membuat rute berbasis kebijakan sebagai rute default, yang memungkinkan pemilihan rute default untuk traffic antara instance virtual machine (VM) dalam jaringan Anda.

Prioritas rute yang mengaktifkan pemilihan rute default harus lebih tinggi (secara numerik lebih rendah) daripada prioritas rute berbasis kebijakan yang mengarahkan traffic ke instance Secure Web Proxy. Jika Anda membuat rute berbasis kebijakan dengan prioritas lebih tinggi daripada rute yang mengaktifkan perutean default, rute tersebut akan lebih diprioritaskan daripada semua rute VPC lainnya.

Pada contoh berikut, Anda membuat rute berbasis kebijakan yang mengarahkan traffic ke instance Secure Web Proxy:

gcloud

Gunakan perintah berikut untuk membuat rute berbasis kebijakan:

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

Ganti kode berikut:

  • POLICY_BASED_ROUTE_NAME: nama yang Anda inginkan untuk rute berbasis kebijakan
  • NETWORK_NAME: nama jaringan Anda
  • SWP_IP: alamat IP instance Secure Web Proxy Anda
  • DESTINATION_RANGE: rentang alamat IP yang akan mengalihkan traffic
  • SOURCE_RANGE: rentang alamat IP tempat traffic akan dialihkan
  • PROJECT: project ID Anda

Selanjutnya, gunakan langkah-langkah berikut untuk membuat rute berbasis kebijakan pemilihan rute default:

gcloud

Gunakan perintah berikut untuk membuat rute berbasis kebijakan pemilihan rute default:

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

Ganti kode berikut:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: nama yang Anda inginkan untuk rute berbasis kebijakan
  • NETWORK_NAME: nama jaringan Anda
  • DESTINATION_RANGE: rentang alamat IP yang akan mengalihkan traffic
  • SOURCE_RANGE: rentang alamat IP tempat traffic akan dialihkan
  • PROJECT: project ID Anda

Batasan

  • Instance SecureWebProxy dengan RoutingMode yang disetel ke NEXT_HOP_ROUTING_MODE hanya mendukung traffic HTTP(S). Jenis traffic lainnya, serta traffic lintas-wilayah, akan dihentikan tanpa notifikasi.
  • Saat Anda menggunakan next-hop-ilb, batasan yang berlaku untuk Load Balancer Jaringan passthrough internal berlaku untuk next hop jika next hop tujuan adalah instance Secure Web Proxy. Untuk informasi selengkapnya, lihat tabel next hop dan fitur untuk rute statis.