Déployer le proxy Web sécurisé en tant que saut suivant

Cette page explique comment créer une règle de proxy Web sécurisé, puis comment configurer le routage du prochain saut pour votre instance de proxy Web sécurisé. Cette page explique également comment configurer le routage statique ou le routage basé sur des règles pour votre saut suivant.

Par défaut, les instances SecureWebProxy ont une valeur RoutingMode de EXPLICIT_ROUTING_MODE, ce qui signifie que vous devez configurer vos charges de travail pour qu'elles envoient explicitement le trafic HTTP(S) au Secure Web Proxy. Au lieu de configurer des clients individuels pour qu'ils pointent vers votre instance de proxy Web sécurisé, vous pouvez définir l'RoutingMode de votre instance de proxy Web sécurisé sur NEXT_HOP_ROUTING_MODE. Cela vous permet de définir des routes qui dirigent le trafic vers votre instance de proxy Web sécurisé.

Configurer le routage du prochain saut pour le proxy Web sécurisé

Cette section décrit la procédure à suivre pour créer une règle de proxy Web sécurisé et pour déployer votre instance de proxy Web sécurisé en tant que prochain saut.

Créer une règle de proxy Web sécurisé

  1. Effectuez toutes les étapes préalables requises.
  2. Créez une règle de proxy Web sécurisé.
  3. Créez des règles de proxy Web sécurisé.

Déployer votre instance de proxy Web sécurisé en tant que prochain saut

Console

  1. Dans la console Google Cloud , accédez à la page Proxys Web.

    Accéder aux proxys Web

  2. Cliquez sur Créer un proxy Web sécurisé.

  3. Saisissez un nom pour le proxy Web que vous souhaitez créer, par exemple myswp.

  4. Saisissez une description du proxy Web, par exemple My new swp.

  5. Pour Mode de routage, sélectionnez l'option Saut suivant.

  6. Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer le proxy Web.

  7. Dans la liste Réseau, sélectionnez le réseau dans lequel vous souhaitez créer le proxy Web.

  8. Dans la liste Sous-réseau, sélectionnez le sous-réseau dans lequel vous souhaitez créer le proxy Web.

  9. Facultatif : Saisissez l'adresse IP du proxy Web sécurisé. Vous pouvez saisir une adresse IP de la plage d'adresses IP du proxy Web sécurisé qui se trouve dans le sous-réseau que vous avez créé à l'étape précédente. Si vous ne saisissez pas l'adresse IP, votre instance Secure Web Proxy choisit automatiquement une adresse IP dans le sous-réseau sélectionné.

  10. Dans la liste Certificat, sélectionnez le certificat que vous souhaitez utiliser pour créer le proxy Web.

  11. Dans la liste Règle, sélectionnez la règle que vous avez créée pour associer le proxy Web.

  12. Cliquez sur Créer.

Cloud Shell

  1. Créez le fichier gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

  2. Créez une instance de proxy Web sécurisé.

    gcloud network-services gateways import swp1 \
  --source=gateway.yaml \
  --location=REGION

    Le déploiement d'une instance de proxy Web sécurisé peut prendre plusieurs minutes.

Créer des routes pour le saut suivant

Une fois que vous avez créé une instance de proxy Web sécurisé, vous pouvez configurer le routage statique ou le routage basé sur des règles pour votre prochain saut :

  • Les routes statiques dirigent le trafic au sein de votre réseau vers votre instance de proxy Web sécurisé dans la même région. Pour configurer une route statique avec votre proxy Web sécurisé comme prochain saut, vous devez configurer des tags réseau.
  • Les routes basées sur des règles vous permettent de rediriger le trafic vers votre instance de proxy Web sécurisé à partir d'une plage d'adresses IP sources. Lorsque vous configurez une route basée sur des règles pour la première fois, vous devez également configurer une autre route basée sur des règles pour qu'elle devienne la route par défaut.

Les deux sections suivantes expliquent comment créer des routes statiques et des routes basées sur des règles.

Créer des routes statiques

Pour acheminer le trafic vers votre instance de proxy Web sécurisé, configurez une route statique avec la commande gcloud compute routes create. Vous devez associer la route statique à un tag réseau et utiliser le même tag réseau sur toutes vos ressources sources pour vous assurer que leur trafic est redirigé vers votre instance Secure Web Proxy. Les routes statiques ne vous permettent pas de définir une plage d'adresses IP source.

Pour en savoir plus sur le fonctionnement des routes statiques dans Google Cloud, consultez Routes statiques.

gcloud

Utilisez la commande suivante pour créer une route statique.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

Remplacez les éléments suivants :

  • STATIC_ROUTE_NAME : nom de votre route statique
  • NETWORK_NAME : nom de votre réseau
  • SWP_IP : adresse IP de votre instance SecureWebProxy
  • DESTINATION_RANGE : plage d'adresses IP vers laquelle vous souhaitez rediriger le trafic
  • PRIORITY : priorité de votre route. Plus le nombre est élevé, plus la priorité est faible.
  • TAGS : liste de tags séparés par une virgule que vous avez créés pour votre instance Secure Web Proxy
  • PROJECT : ID de votre projet

Créer des routes basées sur des règles

Au lieu du routage statique, vous pouvez configurer une route basée sur des règles à l'aide de la commande network-connectivity policy-based-routes create. Vous devez également créer une route basée sur des règles pour qu'elle devienne la route par défaut. Cela permet le routage par défaut du trafic entre les instances de machines virtuelles (VM) de votre réseau. Pour en savoir plus sur le fonctionnement des routes basées sur des règles dansGoogle Cloud, consultez Routage basé sur des règles.

La priorité de la route qui active le routage par défaut doit être supérieure (numériquement inférieure) à celle de la route basée sur des règles qui dirige le trafic vers l'instance Secure Web Proxy. Si vous créez la route basée sur des règles avec une priorité plus élevée que la route qui permet le routage par défaut, elle est prioritaire sur toutes les autres routes VPC.

Utilisez l'exemple suivant pour créer une route basée sur une règle qui redirige le trafic vers votre instance de proxy Web sécurisée.

gcloud

Exécutez la commande suivante pour créer la route basée sur des règles.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

Remplacez les éléments suivants :

  • POLICY_BASED_ROUTE_NAME : nom de votre route basée sur des règles
  • NETWORK_NAME : nom de votre réseau
  • SWP_IP : adresse IP de votre instance Secure Web Proxy
  • DESTINATION_RANGE : plage d'adresses IP vers laquelle vous souhaitez rediriger le trafic
  • SOURCE_RANGE : plage d'adresses IP à partir de laquelle vous souhaitez rediriger le trafic
  • PROJECT : ID de votre projet

Ensuite, procédez comme suit pour créer la route basée sur les règles de routage par défaut.

gcloud

Utilisez la commande suivante pour créer la route basée sur les règles de routage par défaut.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

Remplacez les éléments suivants :

  • DEFAULT_POLICY_BASED_ROUTE_NAME : nom de votre route basée sur des règles
  • NETWORK_NAME : nom de votre réseau
  • DESTINATION_RANGE : plage d'adresses IP vers laquelle vous souhaitez rediriger le trafic
  • SOURCE_RANGE : plage d'adresses IP à partir de laquelle vous souhaitez rediriger le trafic
  • PROJECT : ID de votre projet

Checklist post-déploiement

Après avoir configuré une route statique ou une route basée sur une règle avec votre instance Secure Web Proxy comme saut suivant, assurez-vous d'effectuer les tâches suivantes :

  • Vérifiez qu'il existe une route par défaut vers la passerelle Internet.
  • Ajoutez le tag réseau approprié à la route statique qui pointe vers votre instance de proxy Web sécurisé comme prochain saut.
  • Définissez une priorité appropriée pour la route par défaut vers votre instance de proxy Web sécurisé en tant que saut suivant.
  • Comme le proxy Web sécurisé est un service régional, assurez-vous que le trafic client provient de la même région que votre instance de proxy Web sécurisé.

Limites

  • Les instances SecureWebProxy avec RoutingMode défini sur NEXT_HOP_ROUTING_MODE sont compatibles avec le trafic proxy HTTP(S) et TCP. Les autres types de trafic, y compris le trafic transrégional, sont abandonnés sans notification.
  • Lorsque vous utilisez next-hop-ilb, les limites qui s'appliquent aux équilibreurs de charge réseau passthrough internes s'appliquent aux prochains sauts si le prochain saut de destination est une instance Secure Web Proxy. Pour en savoir plus, consultez les tableaux des sauts suivants et des caractéristiques pour les routes statiques.
  • Tout le trafic provenant des machines virtuelles (VM), y compris le trafic en arrière-plan et les mises à jour, qui correspond à votre route de saut suivant sera acheminé vers votre instance Secure Web Proxy.
  • Pour un réseau VPC dans une région, vous ne pouvez déployer qu'une seule instance Secure Web Proxy comme prochain saut (SWPaNH).