Men-deploy Secure Web Proxy sebagai next hop

Halaman ini memberikan ringkasan cara membuat kebijakan Secure Web Proxy, lalu menjelaskan cara mengonfigurasi perutean hop berikutnya untuk instance Secure Web Proxy Anda. Selain itu, halaman ini menjelaskan cara mengonfigurasi perutean statis atau perutean berbasis kebijakan untuk next hop Anda.

Secara default, instance SecureWebProxy memiliki nilai RoutingMode EXPLICIT_ROUTING_MODE, yang berarti Anda harus mengonfigurasi workload untuk mengirim traffic HTTP(S) secara eksplisit ke Secure Web Proxy. Daripada mengonfigurasi setiap klien untuk mengarah ke instance Secure Web Proxy, Anda dapat menetapkan RoutingMode instance Secure Web Proxy sebagai NEXT_HOP_ROUTING_MODE, yang memungkinkan Anda menentukan rute yang mengarahkan traffic ke instance Secure Web Proxy.

Mengonfigurasi perutean hop berikutnya untuk Secure Web Proxy

Bagian ini menjelaskan langkah-langkah untuk membuat kebijakan Secure Web Proxy dan prosedur untuk men-deploy instance Secure Web Proxy sebagai hop berikutnya.

Membuat kebijakan Secure Web Proxy

  1. Selesaikan semua langkah prasyarat yang diperlukan.
  2. Buat kebijakan Secure Web Proxy.
  3. Buat aturan Secure Web Proxy.

Men-deploy instance Secure Web Proxy sebagai next hop

Konsol

  1. Di konsol Google Cloud , buka halaman Web Proxies.

    Buka Web Proxies

  2. Klik Buat proxy web yang aman.

  3. Masukkan nama untuk proxy web yang ingin Anda buat, seperti myswp.

  4. Masukkan deskripsi proxy web, seperti My new swp.

  5. Untuk Routing mode, pilih opsi Next hop.

  6. Di daftar Regions, pilih region tempat Anda ingin membuat proxy web.

  7. Di daftar Network, pilih jaringan tempat Anda ingin membuat proxy web.

  8. Di daftar Subnetwork, pilih subnetwork tempat Anda ingin membuat proxy web.

  9. Opsional: Masukkan alamat IP Secure Web Proxy. Anda dapat memasukkan alamat IP dari rentang alamat IP Secure Web Proxy yang berada di subnetwork yang Anda buat pada langkah sebelumnya. Jika Anda tidak memasukkan alamat IP, instance Secure Web Proxy Anda akan otomatis memilih alamat IP dari subnetwork yang dipilih.

  10. Di daftar Certificate, pilih sertifikat yang ingin Anda gunakan untuk membuat proxy web.

  11. Di daftar Kebijakan, pilih kebijakan yang Anda buat untuk mengaitkan proxy web.

  12. Klik Buat.

Cloud Shell

  1. Buat file gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

  2. Buat instance Secure Web Proxy.

    gcloud network-services gateways import swp1 \
  --source=gateway.yaml \
  --location=REGION

    Instance Secure Web Proxy dapat memerlukan waktu beberapa menit untuk di-deploy.

Membuat rute untuk next hop

Setelah membuat instance Secure Web Proxy, Anda dapat mengonfigurasi perutean statis atau perutean berbasis kebijakan untuk next hop:

  • Rute statis mengarahkan traffic dalam jaringan Anda ke instance Secure Web Proxy di region yang sama. Untuk menyiapkan rute statis dengan Secure Web Proxy sebagai next hop, Anda harus mengonfigurasi tag jaringan.
  • Dengan rute berbasis kebijakan, Anda dapat mengarahkan traffic ke instance Secure Web Proxy dari rentang alamat IP sumber. Saat mengonfigurasi rute berbasis kebijakan untuk pertama kalinya, Anda juga harus mengonfigurasi rute berbasis kebijakan lain sebagai rute default.

Dua bagian berikut menjelaskan cara membuat rute statis dan rute berbasis kebijakan.

Membuat rute statis

Untuk merutekan traffic ke instance Secure Web Proxy, siapkan rute statis dengan perintah gcloud compute routes create. Anda harus mengaitkan rute statis dengan tag jaringan, dan menggunakan tag jaringan yang sama di semua resource sumber untuk membantu memastikan bahwa traffic-nya dialihkan ke instance Secure Web Proxy Anda. Rute statis tidak memungkinkan Anda menentukan rentang alamat IP sumber.

Untuk mengetahui informasi selengkapnya tentang cara kerja rute statis di Google Cloud, lihat Rute statis.

gcloud

Gunakan perintah berikut untuk membuat rute statis.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

Ganti kode berikut:

  • STATIC_ROUTE_NAME: nama rute statis Anda
  • NETWORK_NAME: nama jaringan Anda
  • SWP_IP: Alamat IP instance SecureWebProxy Anda
  • DESTINATION_RANGE: rentang alamat IP yang ingin Anda gunakan untuk mengalihkan traffic
  • PRIORITY: prioritas rute Anda; angka yang lebih tinggi menunjukkan prioritas yang lebih rendah
  • TAGS: daftar tag yang dipisahkan koma yang Anda buat untuk instance Secure Web Proxy
  • PROJECT: ID project Anda

Membuat rute berbasis kebijakan

Sebagai alternatif untuk perutean statis, Anda dapat menyiapkan rute berbasis kebijakan dengan menggunakan perintah network-connectivity policy-based-routes create. Anda juga perlu membuat rute berbasis kebijakan untuk menjadi rute default, yang memungkinkan pemilihan rute default untuk traffic antara instance mesin virtual (VM) dalam jaringan Anda. Untuk mengetahui informasi selengkapnya tentang cara kerja rute berbasis kebijakan di Google Cloud, lihat Pemilihan rute berbasis kebijakan.

Prioritas rute yang mengaktifkan pemilihan rute default harus lebih tinggi (secara numerik lebih rendah) daripada prioritas rute berbasis kebijakan yang mengarahkan traffic ke instance Secure Web Proxy. Jika Anda membuat rute berbasis kebijakan dengan prioritas yang lebih tinggi daripada rute yang mengaktifkan perutean default, rute tersebut akan diprioritaskan daripada semua rute VPC lainnya.

Gunakan contoh berikut untuk membuat rute berbasis kebijakan yang mengarahkan traffic ke instance Secure Web Proxy Anda.

gcloud

Gunakan perintah berikut untuk membuat rute berbasis kebijakan.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

Ganti kode berikut:

  • POLICY_BASED_ROUTE_NAME: nama rute berbasis kebijakan Anda
  • NETWORK_NAME: nama jaringan Anda
  • SWP_IP: Alamat IP instance Secure Web Proxy Anda
  • DESTINATION_RANGE: rentang alamat IP yang ingin Anda gunakan untuk mengalihkan traffic
  • SOURCE_RANGE: rentang alamat IP dari mana Anda ingin mengalihkan traffic
  • PROJECT: ID project Anda

Selanjutnya, gunakan langkah-langkah berikut untuk membuat rute berbasis kebijakan default-routing.

gcloud

Gunakan perintah berikut untuk membuat rute berbasis kebijakan default-routing.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

Ganti kode berikut:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: nama rute berbasis kebijakan Anda
  • NETWORK_NAME: nama jaringan Anda
  • DESTINATION_RANGE: rentang alamat IP yang ingin Anda gunakan untuk mengalihkan traffic
  • SOURCE_RANGE: rentang alamat IP dari mana Anda ingin mengalihkan traffic
  • PROJECT: ID project Anda

Checklist pasca-deployment

Pastikan Anda menyelesaikan tugas berikut setelah mengonfigurasi rute statis atau rute berbasis kebijakan dengan instance Secure Web Proxy Anda sebagai next hop:

  • Pastikan ada rute default ke gateway internet.
  • Tambahkan tag jaringan yang benar ke rute statis yang mengarah ke instance Secure Web Proxy Anda sebagai next hop.
  • Tentukan prioritas yang sesuai untuk rute default ke instance Secure Web Proxy Anda sebagai next hop.
  • Karena Secure Web Proxy adalah layanan regional, pastikan traffic klien berasal dari region yang sama dengan instance Secure Web Proxy Anda.

Batasan

  • Instance SecureWebProxy dengan RoutingMode yang ditetapkan sebagai NEXT_HOP_ROUTING_MODE mendukung traffic proxy HTTP(S) dan TCP. Jenis traffic lainnya, termasuk traffic lintas region, akan dihentikan tanpa notifikasi.
  • Saat Anda menggunakan next-hop-ilb, batasan yang berlaku untuk Load Balancer Jaringan passthrough internal berlaku untuk next hop jika next hop tujuan adalah instance Secure Web Proxy. Untuk mengetahui informasi selengkapnya, lihat tabel next hop dan fitur untuk rute statis.
  • Semua traffic dari virtual machine (VM), termasuk traffic dan update di latar belakang, yang cocok dengan rute next hop Anda akan dirutekan ke instance Secure Web Proxy Anda.
  • Untuk jaringan VPC di suatu region, Anda hanya dapat men-deploy satu instance Secure Web Proxy sebagai instance hop berikutnya (SWPaNH).