Déployer le proxy Web sécurisé en tant que saut suivant

Par défaut, la valeur RoutingMode des instances SecureWebProxy est de EXPLICIT_ROUTING_MODE, ce qui signifie que vous devez configurer vos charges de travail de façon à envoie explicitement le trafic HTTP(S) au proxy Web sécurisé. Au lieu de de clients individuels pour qu'ils pointent vers votre instance de proxy Web sécurisé, vous vous pouvez définir le paramètre RoutingMode de votre instance de proxy Web sécurisé sur NEXT_HOP_ROUTING_MODE, qui vous permet de définir des itinéraires qui dirigent le trafic vers à votre instance de proxy Web sécurisé.

Ce document explique comment configurer le routage de saut suivant avec le proxy Web sécurisé. Nous partons du principe que vous disposez déjà d'un proxy Web sécurisé instance avec RoutingMode défini sur NEXT_HOP_ROUTING_MODE. Si vous ne disposez pas d'instance de proxy Web sécurisé, suivez les instructions du guide de démarrage rapide pour en créer une, en veillant à définir RoutingMode sur NEXT_HOP_ROUTING_MODE.

Après avoir créé un proxy Web sécurisé, vous pouvez configurer routage statique ou routage basé sur des règles pour votre prochain saut:

  • Les routes statiques dirigent le trafic au sein de votre réseau vers votre proxy Web sécurisé dans la même région. Pour configurer une route statique avec le proxy Web sécurisé en tant que saut suivant, vous devez configurer des tags réseau.
  • Les routes basées sur des règles vous permettent de diriger le trafic vers votre proxy Web sécurisé à partir d'un d'adresses IP sources. Lorsque vous configurez une route basée sur des règles vous devez aussi configurer une autre route basée sur des règles via un routage réseau.

Les sections suivantes expliquent comment créer des routes statiques et des routes basées routes.

Créer des routes statiques

Pour acheminer le trafic vers votre instance de proxy Web sécurisé, vous pouvez configurer une route statique à l'aide de la commande gcloud compute routes create. Vous devez associer route statique à l'aide d'un tag réseau et d'utiliser le même tag réseau sur toutes vos ressources sources pour vous assurer que le trafic est redirigé vers le proxy Web sécurisé. Les routes statiques ne vous permettent pas de définir une plage d'adresses IP source.

gcloud

Utilisez la commande suivante pour créer une route statique :

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

Remplacez les éléments suivants :

  • STATIC_ROUTE_NAME: nom souhaité pour l'élément statique itinéraire
  • NETWORK_NAME: nom de votre réseau
  • SWP_IP: adresse IP de votre instance SecureWebProxy.
  • DESTINATION_RANGE: plage d'adresses IP à laquelle rediriger le trafic
  • PRIORITY: priorité de votre route les nombres les plus élevés sont inférieurs leur priorité.
  • TAGS: liste de tags, séparés par une virgule, que vous avez créés pour votre Proxy Web sécurisé
  • PROJECT : ID de votre projet.

Créer des routes basées sur des règles

Au lieu du routage statique, vous pouvez configurer une route basée sur des règles à l'aide de la commande network-connectivity policy-based routes create. Vous avez également devez créer une route basée sur des règles en tant que route par défaut, ce qui permet le routage par défaut du trafic entre les instances de machines virtuelles (VM) au sein de votre réseau.

La priorité de la route qui active le routage par défaut doit être plus élevée (plus faible numériquement) que la priorité de la route basée sur des règles qui dirige le trafic vers l'instance du proxy Web sécurisé. Si vous créez la route basée sur des règles avec une priorité plus élevée que la route qui active le routage par défaut, elle a la priorité sur toutes les autres routes VPC.

Dans l'exemple suivant, vous créez une route basée sur des règles qui dirige le trafic à votre instance de proxy Web sécurisé:

gcloud

Utilisez la commande suivante pour créer la route basée sur des règles:

gcloud network-connectivity policy-based routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

Remplacez les éléments suivants :

  • POLICY_BASED_ROUTE_NAME : nom souhaité pour votre route basée sur des règles
  • NETWORK_NAME : nom de votre réseau
  • SWP_IP : adresse IP de votre instance de proxy Web sécurisé
  • DESTINATION_RANGE : plage d'adresses IP vers laquelle rediriger le trafic
  • SOURCE_RANGE: plage d'adresses IP à partir de laquelle rediriger trafic
  • PROJECT : ID de votre projet.

Ensuite, procédez comme suit pour créer la route basée sur des règles de routage par défaut:

gcloud

Utilisez la commande suivante pour créer la route basée sur des règles de routage par défaut :

gcloud network-connectivity policy-based routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

Remplacez les éléments suivants :

  • DEFAULT_POLICY_BASED_ROUTE_NAME : nom que vous souhaitez donner à votre route basée sur des règles
  • NETWORK_NAME : nom de votre réseau
  • DESTINATION_RANGE: plage d'adresses IP à laquelle rediriger le trafic
  • SOURCE_RANGE: plage d'adresses IP à partir de laquelle rediriger trafic
  • PROJECT : ID de votre projet.

Limites

  • Le proxy Web sécurisé en tant que saut suivant ne fonctionne qu'avec des règles TLS l'inspection est activée. Les règles sans inspection TLS ne peuvent pas être utilisées avec les instances de proxy Web sécurisé dans NEXT_HOP_ROUTING_MODE. Pour en savoir plus sur l'inspection TLS, consultez la Présentation de l'inspection TLS.
  • Les instances SecureWebProxy avec RoutingMode défini sur NEXT_HOP_ROUTING_MODE ne prennent en charge que le trafic HTTP(S). Les autres types de trafic, ainsi que le trafic interrégional, sont abandonnés sans notification.
  • Lorsque vous utilisez next-hop-ilb, les limites qui s'appliquent aux équilibreurs de charge réseau passthrough internes s'appliquent aux sauts suivants si le saut suivant de destination est une instance de proxy Web sécurisé. Pour en savoir plus, consultez les tables des prochains sauts et des fonctionnalités des routes statiques.