Secure Web Proxy をネクストホップとしてデプロイする

デフォルトでは、SecureWebProxy インスタンスの RoutingMode 値は EXPLICIT_ROUTING_MODE です。つまり、HTTP(S) トラフィックを Secure Web Proxy に明示的に送信するようにワークロードを構成する必要があります。Secure Web Proxy インスタンスを参照するように個々のクライアントを構成する代わりに、Secure Web Proxy インスタンスの RoutingModeNEXT_HOP_ROUTING_MODE に設定できます。これにより、Secure Web Proxy インスタンスにトラフィックを転送するルートを定義できます。

このドキュメントでは、Secure Web Proxy でネクストホップ ルーティングを構成する方法について説明します。ここでは、RoutingModeNEXT_HOP_ROUTING_MODE に設定された Secure Web Proxy インスタンスがすでに存在することを前提としています。既存の Secure Web Proxy インスタンスがない場合は、クイックスタート ガイドの手順に沿ってインスタンスを作成し、RoutingModeNEXT_HOP_ROUTING_MODE に設定します。

Secure Web Proxy を作成したら、ネクストホップに静的ルーティングまたはポリシーベース ルーティングを構成できます。

  • 静的ルートは、ネットワーク内のトラフィックを同じリージョンの Secure Web Proxy に転送します。Secure Web Proxy をネクストホップとして使用する静的ルートを設定するには、ネットワーク タグを構成する必要があります。
  • ポリシーベースのルートを使用すると、送信元 IP アドレス範囲から Secure Web Proxy にトラフィックを転送できます。ポリシーベースのルートを初めて構成する場合は、別のポリシーベースのルートをデフォルト ルートとして構成する必要があります。

以降のセクションでは、静的ルートとポリシーベースのルートの作成方法について説明します。

静的ルートを作成する

トラフィックを Secure Web Proxy インスタンスにルーティングするには、gcloud compute routes create コマンドを使用して静的ルートをセットアップします。トラフィックが Secure Web Proxy にリダイレクトされるようにするには、静的ルートをネットワーク タグに関連付け、すべてのソースリソースで同じネットワーク タグを使用する必要があります。静的ルートでは、送信元 IP アドレス範囲を定義できません。

gcloud

静的ルートを作成するには、次のコマンドを使用します。

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT
 

以下を置き換えます。

  • STATIC_ROUTE_NAME: 静的ルートに付ける名前
  • NETWORK_NAME: ネットワーク名
  • SWP_IP: SecureWebProxy インスタンスの IP アドレス。
  • DESTINATION_RANGE: トラフィックをリダイレクトする IP アドレスの範囲
  • PRIORITY: ルートの優先度。数値が大きいほど優先度が低くなります。
  • TAGS: Secure Web Proxy 用に作成したタグのカンマ区切りリスト
  • PROJECT: プロジェクト ID

ポリシーベースのルートを作成する

静的ルーティングの代わりに、network-connectivity policy-based routes create コマンドを使用してポリシーベースのルートを設定することもできます。また、デフォルトのルートとしてポリシーベースのルートを作成する必要があります。これにより、ネットワーク内の仮想マシン(VM)インスタンス間のトラフィックに対してデフォルトのルーティングが有効になります。

デフォルトのルーティングを有効にするルートの優先度は、トラフィックを Secure Web Proxy インスタンスに転送するポリシーベースのルートの優先度よりも高く(数値を小さく)する必要があります。デフォルト ルーティングを有効にするルートよりも優先度の高いポリシーベースのルートを作成すると、他のすべての VPC ルートよりも優先されます。

次の例では、トラフィックを Secure Web Proxy インスタンスに転送するポリシーベースのルートを作成します。

gcloud

ポリシーベースのルートを作成するには、次のコマンドを使用します。

gcloud network-connectivity policy-based routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT
 

以下を置き換えます。

  • POLICY_BASED_ROUTE_NAME: ポリシーベースのルートに付ける名前
  • NETWORK_NAME: ネットワーク名
  • SWP_IP: Secure Web Proxy インスタンスの IP アドレス
  • DESTINATION_RANGE: トラフィックをリダイレクトする IP アドレスの範囲
  • SOURCE_RANGE: トラフィックをリダイレクトする IP アドレスの範囲
  • PROJECT: プロジェクト ID

次に、次の手順でデフォルト ルーティングのポリシーベースのルートを作成します。

gcloud

デフォルト ルーティング ポリシーベースのルートを作成するには、次のコマンドを使用します。

gcloud network-connectivity policy-based routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT
 

以下を置き換えます。

  • DEFAULT_POLICY_BASED_ROUTE_NAME: ポリシーベースのルートに付ける名前
  • NETWORK_NAME: ネットワーク名
  • DESTINATION_RANGE: トラフィックをリダイレクトする IP アドレスの範囲
  • SOURCE_RANGE: トラフィックをリダイレクトする IP アドレスの範囲
  • PROJECT: プロジェクト ID

制限事項

  • ネクストホップとしての Secure Web Proxy は、TLS インスペクションが有効になっているルールでのみ機能します。TLS インスペクションのないルールは、NEXT_HOP_ROUTING_MODE の Secure Web Proxy インスタンスで使用できません。TLS インスペクションの詳細については、TLS インスペクションの概要をご覧ください。
  • RoutingModeNEXT_HOP_ROUTING_MODE に設定されている SecureWebProxy インスタンスは、HTTP(S) トラフィックのみをサポートします。他の種類のトラフィックとクロスリージョン トラフィックは、通知なしで破棄されます。
  • next-hop-ilb を使用する場合、宛先ネクストホップが Secure Web Proxy インスタンスである場合、内部パススルー ネットワーク ロードバランサに適用される制限がネクストホップに適用されます。詳細については、静的ルートのネクストホップと機能の表をご覧ください。