Implantar o Secure Web Proxy como próximo salto

Por padrão, as instâncias SecureWebProxy têm um valor RoutingMode de EXPLICIT_ROUTING_MODE, o que significa que é preciso configurar as cargas de trabalho para explicitamente o tráfego HTTP(S) para o Secure Web Proxy. Em vez de configurar clientes individuais para apontar para sua instância do Secure Web Proxy, pode definir o RoutingMode da instância do Secure Web Proxy como NEXT_HOP_ROUTING_MODE, que permite definir rotas que direcionam o tráfego para sua instância do Secure Web Proxy.

Este documento descreve como configurar o roteamento do próximo salto com com o Secure Web Proxy. Ele pressupõe que você já tem uma instância do Secure Web Proxy com o RoutingMode definido como NEXT_HOP_ROUTING_MODE. Se você não tiver uma instância do Secure Web Proxy, siga as instruções guia de início rápido para criar um, garantindo que você defina RoutingMode como NEXT_HOP_ROUTING_MODE.

Depois de criar um Secure Web Proxy, você pode configurar o roteamento estático ou o roteamento com base em políticas para o próximo salto:

  • As rotas estáticas direcionam o tráfego dentro da rede para o proxy seguro da Web na mesma região. Para configurar uma rota estática com o Secure Web Proxy como próximo salto, configure as tags de rede.
  • As rotas com base em políticas permitem direcionar o tráfego para o proxy seguro da Web de um intervalo de endereços IP de origem. Quando você configura uma rota com base em políticas para a primeira é necessário configurar outra rota com base em políticas como padrão trajeto.

As seções a seguir explicam como criar rotas estáticas e modelos rotas de prioridade mais alta.

Criar rotas estáticas

Para rotear o tráfego para sua instância do Secure Web Proxy, você pode configurar rota com o comando gcloud compute routes create. Você deve associar o uma rota estática com uma tag de rede e use a mesma tag de rede em todos os seus recursos de origem para garantir que os o tráfego é redirecionado para o Secure Web Proxy. As rotas estáticas não permitem definir um intervalo de endereços IP de origem.

gcloud

Use o comando a seguir para criar uma rota estática:

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT
 

Substitua:

  • STATIC_ROUTE_NAME: o nome que você quer para a imagem estática rota
  • NETWORK_NAME: o nome da sua rede
  • SWP_IP: o endereço IP da sua instância SecureWebProxy.
  • DESTINATION_RANGE: o intervalo de endereços IP para redirecionar o tráfego
  • PRIORITY: a prioridade da rota. os números mais altos são menores prioridade.
  • TAGS: uma lista de tags separadas por vírgulas que você criou para o Proxy seguro da Web
  • PROJECT: ID do projeto

Criar rotas com base em políticas

Como alternativa ao roteamento estático, é possível configurar uma rota baseada em políticas usando o comando network-connectivity policy-based routes create. Você também precisa criar uma rota com base em políticas para ser a padrão, o que permite roteamento padrão do tráfego entre instâncias de máquina virtual (VM) na sua em uma rede VPC.

A prioridade da rota que permite roteamento padrão precisa ser maior (numérica menor) que a prioridade da rota com base em políticas que direciona o tráfego para a instância do Secure Web Proxy. Se você criar a rota com base em políticas prioridade maior do que a rota que permite o roteamento padrão, prioridade sobre todas as outras rotas VPC.

No exemplo a seguir, você cria uma rota com base em políticas que direciona o tráfego à instância do Secure Web Proxy:

gcloud

Use o seguinte comando para criar a rota com base em políticas:

gcloud network-connectivity policy-based routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT
 

Substitua:

  • POLICY_BASED_ROUTE_NAME: o nome que você quer para a rota com base em políticas
  • NETWORK_NAME: o nome da rede
  • SWP_IP: o endereço IP da sua instância do proxy da Web seguro
  • DESTINATION_RANGE: o intervalo de endereços IP para redirecionar o tráfego
  • SOURCE_RANGE: o intervalo de endereços IP de onde o redirecionamento será feito. trânsito
  • PROJECT: ID do projeto

Em seguida, use as etapas a seguir para criar a rota com base em política de roteamento padrão:

gcloud

Use o seguinte comando para criar a rota com base na política de roteamento padrão:

gcloud network-connectivity policy-based routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT
 

Substitua:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: o nome que você quer para sua rota com base em políticas
  • NETWORK_NAME: o nome da rede
  • DESTINATION_RANGE: o intervalo de endereços IP para o qual redirecionar tráfego
  • SOURCE_RANGE: o intervalo de endereços IP de onde o redirecionamento será feito. trânsito
  • PROJECT: ID do projeto

Limitações

  • O Secure Web Proxy como próximo salto só funciona com regras que têm a inspeção TLS ativada. Não é possível usar regras sem inspeção TLS com instâncias do Secure Web Proxy em NEXT_HOP_ROUTING_MODE. Para mais informações sobre inspeção TLS, consulte Visão geral da inspeção de TLS.
  • As instâncias SecureWebProxy com RoutingMode definido como NEXT_HOP_ROUTING_MODE só são compatíveis com o tráfego HTTP(S). Outros tipos de tráfego, bem como tráfego entre regiões é descartado sem notificação.
  • Quando você usa next-hop-ilb, as limitações que se aplicam aos balanceadores de carga de rede de passagem interna aplicar aos próximos saltos se o próximo salto de destino for um Secure Web Proxy instância. Para mais informações, consulte as tabelas de recursos e próximos saltos para rotas estáticas.