Secure Web Proxy als nächsten Hop bereitstellen

Auf dieser Seite finden Sie eine Übersicht dazu, wie Sie eine Secure Web Proxy-Richtlinie erstellen. Außerdem wird erläutert, wie Sie Next Hop-Routing für Ihre Secure Web Proxy-Instanz konfigurieren. Außerdem wird auf dieser Seite beschrieben, wie Sie entweder statisches Routing oder richtlinienbasiertes Routing für Ihren nächsten Hop konfigurieren.

Standardmäßig haben SecureWebProxy-Instanzen den RoutingMode-Wert EXPLICIT_ROUTING_MODE. Das bedeutet, dass Sie Ihre Arbeitslasten so konfigurieren müssen, dass HTTP(S)-Traffic explizit an Secure Web Proxy gesendet wird. Anstatt einzelne Clients so zu konfigurieren, dass sie auf Ihre Secure Web Proxy-Instanz verweisen, können Sie die RoutingMode Ihrer Secure Web Proxy-Instanz als NEXT_HOP_ROUTING_MODE festlegen. So können Sie Routen definieren, die Traffic an Ihre Secure Web Proxy-Instanz weiterleiten.

Next-Hop-Routing für Secure Web Proxy konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie eine Secure Web Proxy-Richtlinie erstellen und wie Sie Ihre Secure Web Proxy-Instanz als Next Hop bereitstellen.

Secure Web Proxy-Richtlinie erstellen

  1. Führen Sie alle erforderlichen Schritte aus.
  2. Richtlinie für Secure Web Proxy erstellen
  3. Regeln für den sicheren Web-Proxy erstellen

Secure Web Proxy-Instanz als nächsten Hop bereitstellen

Console

  1. Rufen Sie in der Google Cloud -Console die Seite Web-Proxys auf.

    Zu Web-Proxys

  2. Klicken Sie auf Sicheren Web-Proxy erstellen.

  3. Geben Sie einen Namen für den Webproxy ein, den Sie erstellen möchten, z. B. myswp.

  4. Geben Sie eine Beschreibung des Webproxys ein, z. B. My new swp.

  5. Wählen Sie für Routingmodus die Option Next Hop aus.

  6. Wählen Sie in der Liste Regionen die Region aus, in der Sie den Webproxy erstellen möchten.

  7. Wählen Sie in der Liste Netzwerk das Netzwerk aus, in dem Sie den Webproxy erstellen möchten.

  8. Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, in dem Sie den Webproxy erstellen möchten.

  9. Optional: Geben Sie die IP-Adresse des Secure Web Proxy ein. Sie können eine IP-Adresse aus dem Bereich der Secure Web Proxy-IP-Adressen eingeben, die sich im Subnetz befinden, das Sie im vorherigen Schritt erstellt haben. Wenn Sie die IP-Adresse nicht eingeben, wählt Ihre Secure Web Proxy-Instanz automatisch eine IP-Adresse aus dem ausgewählten Subnetzwerk aus.

  10. Wählen Sie in der Liste Zertifikat das Zertifikat aus, das Sie zum Erstellen des Webproxys verwenden möchten.

  11. Wählen Sie in der Liste Richtlinie die Richtlinie aus, die Sie zum Verknüpfen des Webproxys erstellt haben.

  12. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie die Datei gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

  2. Erstellen Sie eine Secure Web Proxy-Instanz.

    gcloud network-services gateways import swp1 \
  --source=gateway.yaml \
  --location=REGION

    Die Bereitstellung einer Secure Web Proxy-Instanz kann einige Minuten dauern.

Routen für den nächsten Hop erstellen

Nachdem Sie eine Secure Web Proxy-Instanz erstellt haben, können Sie entweder statisches Routing oder richtlinienbasiertes Routing für Ihren nächsten Hop konfigurieren:

  • Statische Routen leiten den Traffic in Ihrem Netzwerk an Ihre Secure Web Proxy-Instanz in derselben Region weiter. Wenn Sie eine statische Route mit Ihrem Secure Web Proxy als nächsten Hop einrichten möchten, müssen Sie Netzwerk-Tags konfigurieren.
  • Mit richtlinienbasierten Routen können Sie Traffic aus einem Quell-IP-Adressbereich an Ihre Secure Web Proxy-Instanz weiterleiten. Wenn Sie zum ersten Mal eine richtlinienbasierte Route konfigurieren, müssen Sie auch eine andere richtlinienbasierte Route als Standardroute konfigurieren.

In den folgenden beiden Abschnitten wird beschrieben, wie Sie statische Routen und richtlinienbasierte Routen erstellen.

Statische Routen erstellen

Wenn Sie Traffic an Ihre Secure Web Proxy-Instanz weiterleiten möchten, richten Sie mit dem Befehl gcloud compute routes create eine statische Route ein. Sie müssen die statische Route mit einem Netzwerk-Tag verknüpfen und dasselbe Netzwerk-Tag für alle Ihre Quellressourcen verwenden, damit ihr Traffic an Ihre Secure Web Proxy-Instanz weitergeleitet wird. Bei statischen Routen können Sie keinen Quell-IP-Adressbereich definieren.

Weitere Informationen zur Funktionsweise statischer Routen in Google Cloudfinden Sie unter Statische Routen.

gcloud

Verwenden Sie den folgenden Befehl, um eine statische Route zu erstellen.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

Ersetzen Sie Folgendes:

  • STATIC_ROUTE_NAME: Name der statischen Route
  • NETWORK_NAME: Name Ihres Netzwerks
  • SWP_IP: IP-Adresse Ihrer SecureWebProxy-Instanz
  • DESTINATION_RANGE: Bereich der IP-Adressen, zu denen Sie den Traffic weiterleiten möchten
  • PRIORITY: Priorität Ihrer Route. Höhere Zahlen stehen für eine niedrigere Priorität.
  • TAGS: eine durch Kommas getrennte Liste von Tags, die Sie für Ihre Secure Web Proxy-Instanz erstellt haben
  • PROJECT: ID Ihres Projekts

Richtlinienbasierte Routen erstellen

Als Alternative zum statischen Routing können Sie eine richtlinienbasierte Route mit dem Befehl network-connectivity policy-based-routes create einrichten. Sie müssen auch eine richtlinienbasierte Route als Standardroute erstellen, um das Standardrouting für den Traffic zwischen VM-Instanzen in Ihrem Netzwerk zu aktivieren. Weitere Informationen zur Funktionsweise von richtlinienbasierten Routen inGoogle Cloudfinden Sie unter Richtlinienbasiertes Routing.

Die Priorität der Route, die Standardrouting ermöglicht, muss höher (numerisch niedriger) sein als die Priorität der richtlinienbasierten Route, die Traffic an die Secure Web Proxy-Instanz weiterleitet. Wenn Sie die richtlinienbasierte Route mit einer höheren Priorität als die Route erstellen, die das Standardrouting ermöglicht, hat sie Vorrang vor allen anderen VPC-Routen.

Verwenden Sie das folgende Beispiel, um eine richtlinienbasierte Route zu erstellen, die Traffic an Ihre Secure Web Proxy-Instanz weiterleitet.

gcloud

Verwenden Sie den folgenden Befehl, um die richtlinienbasierte Route zu erstellen.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

Ersetzen Sie Folgendes:

  • POLICY_BASED_ROUTE_NAME: Name Ihrer richtlinienbasierten Route
  • NETWORK_NAME: Name Ihres Netzwerks
  • SWP_IP: IP-Adresse Ihrer Secure Web Proxy-Instanz
  • DESTINATION_RANGE: Bereich der IP-Adressen, zu denen Sie den Traffic weiterleiten möchten
  • SOURCE_RANGE: Bereich von IP-Adressen, von denen Sie den Traffic weiterleiten möchten
  • PROJECT: ID Ihres Projekts

Gehen Sie dann so vor, um die richtlinienbasierte Standardroutingroute zu erstellen.

gcloud

Verwenden Sie den folgenden Befehl, um die richtlinienbasierte Route für das Standardrouting zu erstellen.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

Ersetzen Sie Folgendes:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: Name der richtlinienbasierten Route
  • NETWORK_NAME: Name Ihres Netzwerks
  • DESTINATION_RANGE: Bereich der IP-Adressen, zu denen Sie den Traffic weiterleiten möchten
  • SOURCE_RANGE: Bereich von IP-Adressen, von denen Sie den Traffic weiterleiten möchten
  • PROJECT: ID Ihres Projekts

Checkliste nach der Bereitstellung

Achten Sie darauf, dass Sie die folgenden Aufgaben ausführen, nachdem Sie entweder eine statische Route oder eine richtlinienbasierte Route mit Ihrer Secure Web Proxy-Instanz als nächsten Hop konfiguriert haben:

  • Prüfen Sie, ob eine Standardroute zum Internetgateway vorhanden ist.
  • Fügen Sie der statischen Route, die auf Ihre Secure Web Proxy-Instanz als nächsten Hop verweist, das richtige Netzwerk-Tag hinzu.
  • Legen Sie eine geeignete Priorität für die Standardroute zu Ihrer Secure Web Proxy-Instanz als nächsten Hop fest.
  • Da Secure Web Proxy ein regionaler Dienst ist, muss der Client-Traffic aus derselben Region wie Ihre Secure Web Proxy-Instanz stammen.

Beschränkungen

  • SecureWebProxy-Instanzen mit RoutingMode als NEXT_HOP_ROUTING_MODE unterstützen HTTP(S)- und TCP-Proxy-Traffic. Andere Arten von Traffic, einschließlich regionsübergreifendem Traffic, werden ohne Benachrichtigung verworfen.
  • Wenn Sie next-hop-ilb verwenden, gelten die Einschränkungen, die für interne Passthrough-Network-Load-Balancer gelten, auch für nächste Hops, wenn der Ziel-Next-Hop eine Secure Web Proxy-Instanz ist. Weitere Informationen finden Sie in den Tabellen zu Next-Hops und Funktionen für statische Routen.
  • Der gesamte Traffic von VMs, einschließlich Hintergrundtraffic und Updates, der mit Ihrer Next-Hop-Route übereinstimmt, wird an Ihre Secure Web Proxy-Instanz weitergeleitet.
  • Für ein VPC-Netzwerk in einer Region können Sie nur eine SWPaNH-Instanz (Secure Web Proxy as Next Hop) bereitstellen.