En esta página se ofrece una descripción general de cómo crear una política de proxy web seguro y, a continuación, se explica cómo configurar el enrutamiento del siguiente salto para tu instancia de proxy web seguro. Además, en esta página se describe cómo configurar el enrutamiento estático o el enrutamiento basado en políticas para el siguiente salto.
De forma predeterminada, las instancias de SecureWebProxy tienen un valor de RoutingMode de EXPLICIT_ROUTING_MODE, lo que significa que debes configurar tus cargas de trabajo para que envíen explícitamente tráfico HTTP(S) a Secure Web Proxy. En lugar de configurar clientes individuales para que apunten a tu instancia de proxy web seguro, puedes definir la RoutingMode de tu instancia de proxy web seguro como NEXT_HOP_ROUTING_MODE, lo que te permite definir rutas que dirijan el tráfico a tu instancia de proxy web seguro.
Configurar el enrutamiento del siguiente salto para Secure Web Proxy
En esta sección se describen los pasos para crear una política de Secure Web Proxy y el procedimiento para desplegar tu instancia de Secure Web Proxy como salto siguiente.
Crear una política de proxy web seguro
- Completa todos los pasos previos necesarios.
- Crea una política de proxy web seguro.
- Crea reglas de Secure Web Proxy.
Implementar tu instancia de Secure Web Proxy como siguiente salto
Consola
En la Google Cloud consola, ve a la página Proxies web.
Haz clic en Crear un proxy web seguro.
Introduce el nombre del proxy web que quieras crear, como
myswp.Introduce una descripción del proxy web, como
My new swp.En Modo de enrutamiento, selecciona la opción Siguiente salto.
En la lista Regiones, selecciona la región en la que quieras crear el proxy web.
En la lista Red, seleccione la red en la que quiera crear el proxy web.
En la lista Subred, selecciona la subred en la que quieras crear el proxy web.
Opcional: Introduce la dirección IP del proxy web seguro. Puedes introducir una dirección IP del intervalo de direcciones IP de Secure Web Proxy que se encuentre en la subred que has creado en el paso anterior. Si no introduces la dirección IP, tu instancia de Secure Web Proxy elegirá automáticamente una dirección IP de la subred seleccionada.
En la lista Certificado, seleccione el certificado que quiera usar para crear el proxy web.
En la lista Política, seleccione la política que ha creado para asociar el proxy web.
Haz clic en Crear.
Cloud Shell
Crea el archivo
gateway.yaml.name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443, 80] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/NETWORK subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK routingMode: NEXT_HOP_ROUTING_MODECrea una instancia de proxy web seguro.
gcloud network-services gateways import swp1 \ --source=gateway.yaml \ --location=REGIONUna instancia de proxy web seguro puede tardar varios minutos en desplegarse.
Crear rutas para el siguiente salto
Una vez que hayas creado una instancia de Secure Web Proxy, puedes configurar el enrutamiento estático o el enrutamiento basado en políticas para el siguiente salto:
- Las rutas estáticas dirigen el tráfico de tu red a tu instancia de proxy web seguro en la misma región. Para configurar una ruta estática con Secure Web Proxy como salto siguiente, debes configurar etiquetas de red.
- Las rutas basadas en políticas te permiten dirigir el tráfico a tu instancia de proxy web seguro desde un intervalo de direcciones IP de origen. Cuando configures una ruta basada en políticas por primera vez, también debes configurar otra ruta basada en políticas para que sea la ruta predeterminada.
En las dos secciones siguientes se explica cómo crear rutas estáticas y rutas basadas en políticas.
Crear rutas estáticas
Para enrutar el tráfico a tu instancia de proxy web seguro, configura una ruta estática con el comando gcloud compute routes create. Debes asociar la ruta estática a una etiqueta de red y usar la misma etiqueta de red en todos tus recursos de origen para asegurarte de que su tráfico se redirija a tu instancia de proxy web seguro. Las rutas estáticas no permiten definir un intervalo de direcciones IP de origen.
Para obtener más información sobre cómo funcionan las rutas estáticas en Google Cloud, consulta Rutas estáticas.
gcloud
Usa el siguiente comando para crear una ruta estática.
gcloud compute routes create STATIC_ROUTE_NAME \
--network=NETWORK_NAME \
--next-hop-ilb=SWP_IP \
--destination-range=DESTINATION_RANGE \
--priority=PRIORITY \
--tags=TAGS \
--project=PROJECT
Haz los cambios siguientes:
STATIC_ROUTE_NAME: nombre de la ruta estáticaNETWORK_NAME: nombre de tu redSWP_IP: dirección IP de tu instancia deSecureWebProxyen la subred especificada en el archivogateway.yamlDESTINATION_RANGE: intervalo de direcciones IP al que quieres redirigir el tráfico. Por ejemplo, usa0.0.0.0/0para enrutar todo el tráfico de Internet a tu instancia de proxy web seguroPRIORITY: prioridad de tu ruta. Los números más altos indican una prioridad más baja. Asegúrate de que la prioridad de tu ruta sea numéricamente inferior a la de la ruta de Internet predeterminada, que suele ser1000.TAGS: lista de etiquetas separadas por comas que usarás con tu instancia de Secure Web Proxy.PROJECT: ID de tu proyecto
Crea una VM en la subred adecuada con las etiquetas de red especificadas en la ruta.
gcloud compute instances create swp-nexthop-test-vm \
--subnet=SUBNETWORK \
--zone=ZONE \
--image-project=debian-cloud \
--image-family=debian-11 \
--tags=TAGSHaz los cambios siguientes:
SUBNETWORK: subred que has configurado para el proxy webZONE: zona de tu instancia de VM de pruebaTAGS: lista de etiquetas separadas por comas que usarás con tu instancia de Secure Web Proxy.
Crear rutas basadas en políticas
Como alternativa al enrutamiento estático, puedes configurar una ruta basada en políticas mediante el comando network-connectivity policy-based-routes create. También debe crear una ruta basada en políticas para que sea la ruta predeterminada, lo que habilita el enrutamiento predeterminado del tráfico entre instancias de máquinas virtuales (VMs) de su red. Para obtener más información sobre cómo funcionan las rutas basadas en políticas enGoogle Cloud, consulta Enrutamiento basado en políticas.
La prioridad de la ruta que habilita el enrutamiento predeterminado debe ser mayor (numéricamente inferior) que la prioridad de la ruta basada en políticas que dirige el tráfico a la instancia de Secure Web Proxy. Si creas la ruta basada en políticas con una prioridad más alta que la ruta que habilita el enrutamiento predeterminado, tendrá prioridad sobre todas las demás rutas de VPC.
Usa el siguiente ejemplo para crear una ruta basada en políticas que dirija el tráfico a tu instancia de proxy web seguro.
gcloud
Usa el siguiente comando para crear la ruta basada en políticas.
gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-ilb-ip=SWP_IP \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=2 \
--project=PROJECT
Haz los cambios siguientes:
POLICY_BASED_ROUTE_NAME: nombre de la ruta basada en políticasNETWORK_NAME: nombre de tu redSWP_IP: dirección IP de tu instancia de Secure Web ProxyDESTINATION_RANGE: intervalo de direcciones IP al que quieres redirigir el tráficoSOURCE_RANGE: intervalo de direcciones IP desde las que quieres redirigir el tráficoPROJECT: ID de tu proyecto
A continuación, sigue estos pasos para crear la ruta basada en la política de enrutamiento predeterminada.
gcloud
Usa el siguiente comando para crear la ruta basada en la política de enrutamiento predeterminada.
gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-other-routes="DEFAULT_ROUTING" \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=1 \
--project=PROJECT
Haz los cambios siguientes:
DEFAULT_POLICY_BASED_ROUTE_NAME: nombre de la ruta basada en políticasNETWORK_NAME: nombre de tu redDESTINATION_RANGE: intervalo de direcciones IP al que quieres redirigir el tráficoSOURCE_RANGE: intervalo de direcciones IP desde las que quieres redirigir el tráficoPROJECT: ID de tu proyecto
Lista de comprobación posterior a la implementación
Después de configurar una ruta estática o una ruta basada en políticas con tu instancia de proxy web seguro como salto siguiente, debes completar las siguientes tareas:
- Confirma que hay una ruta predeterminada a la pasarela de Internet.
- Añada la etiqueta de red correcta a la ruta estática que apunta a su instancia de proxy web seguro como siguiente salto.
- Define una prioridad adecuada para la ruta predeterminada a tu instancia de Secure Web Proxy como siguiente salto.
- Como Secure Web Proxy es un servicio regional, asegúrate de que el tráfico del cliente se origine en la misma región que tu instancia de Secure Web Proxy.
Limitaciones
- Las instancias
SecureWebProxyconRoutingModeconfigurado comoNEXT_HOP_ROUTING_MODEadmiten tráfico de proxy HTTP(S) y TCP. Otros tipos de tráfico, incluido el tráfico entre regiones, se rechazan sin enviar ninguna notificación. - Cuando usas
next-hop-ilb, las limitaciones que se aplican a los balanceadores de carga de red de transferencia internos se aplican a los siguientes saltos si el siguiente salto de destino es una instancia de proxy web seguro. Para obtener más información, consulta las tablas de saltos siguientes y funciones de las rutas estáticas. - Todo el tráfico de las máquinas virtuales, incluido el tráfico en segundo plano y las actualizaciones, que coincida con tu ruta de salto siguiente se dirigirá a tu instancia de proxy web seguro.
- En una red de VPC de una región, solo puedes implementar una instancia de proxy web seguro como salto siguiente.