Per impostazione predefinita, SecureWebProxy istanze hanno un valore RoutingMode pari a
EXPLICIT_ROUTING_MODE, il che significa che devi configurare i carichi di lavoro per
inviare esplicitamente il traffico HTTP(S) a Secure Web Proxy. Invece di
configurare singoli client affinché puntino alla tua istanza Secure Web Proxy,
puoi impostare il valore RoutingMode della tua istanza di Secure Web Proxy
NEXT_HOP_ROUTING_MODE, che ti consente di definire percorsi che indirizzano il traffico a
alla tua istanza di Secure Web Proxy.
Questo documento descrive come configurare il routing dell'hop successivo con
Secure Web Proxy. Si presume che tu abbia già un proxy web sicuro
con il valore RoutingMode impostato su NEXT_HOP_ROUTING_MODE. Se non hai un'istanza di Secure Web Proxy, segui le istruzioni riportate nella guida introduttiva per crearne una, assicurandoti di impostare RoutingMode su NEXT_HOP_ROUTING_MODE.
Dopo aver creato un Secure Web Proxy, puoi configurare il routing statico o il routing basato su criteri per l'hop successivo:
- Le route statiche indirizzano il traffico all'interno della rete al tuo Secure Web Proxy nella stessa regione. Per configurare un percorso statico con il proxy web sicuro come hop successivo, devi configurare i tag di rete.
- Le route basate su criteri ti consentono di indirizzare il traffico al tuo proxy web sicuro da un di indirizzi IP di origine. Quando configuri un percorso basato su criteri per la prima volta, devi configurare anche un altro percorso basato su criteri come percorso predefinito.
Le sezioni seguenti spiegano come creare route statiche e basate su criteri route.
Crea route statiche
Per instradare il traffico all'istanza Secure Web Proxy, puoi impostare una route statica con il comando gcloud compute routes create. Devi associare la route statica a un tag di rete e utilizzare lo stesso tag di rete su tutte le risorse di origine per assicurarti che il loro traffico venga reindirizzato a Secure Web Proxy. Le route statiche non ti consentono di definire
di un intervallo di indirizzi IP di origine.
gcloud
Utilizza il seguente comando per creare una route statica:
gcloud compute routes create STATIC_ROUTE_NAME \
--network=NETWORK_NAME \
--next-hop-ilb=SWP_IP \
--destination-range=DESTINATION_RANGE \
--priority=PRIORITY \
--tags=TAGS \
--project=PROJECT
Sostituisci quanto segue:
STATIC_ROUTE_NAME: il nome che vuoi assegnare alla route staticaNETWORK_NAME: il nome della tua reteSWP_IP: l'indirizzo IP dell'istanzaSecureWebProxy.DESTINATION_RANGE: l'intervallo di indirizzi IP a cui reindirizzare il trafficoPRIORITY: la priorità del percorso; i numeri più alti sono inferiori la priorità.TAGS: un elenco separato da virgole di tag che hai creato per il tuo Secure Web ProxyPROJECT: il tuo ID progetto
Crea route basate su criteri
In alternativa al routing statico, puoi configurare una route basata su criteri
usando il comando network-connectivity policy-based routes create. Inoltre,
devi creare una route basata su criteri da impostare come route predefinita, che attiva il routing predefinito per il traffico tra le istanze di macchine virtuali (VM) all'interno della rete.
La priorità della route che abilita il routing predefinito deve essere superiore (numericamente inferiore) rispetto alla priorità della route basata su criteri che indirizza il traffico all'istanza Secure Web Proxy. Se crei la route basata su criteri a una priorità maggiore rispetto alla route che abilita il routing predefinito, la priorità su tutte le altre route VPC.
Nel seguente esempio viene creata una route basata su criteri che indirizza il traffico all'istanza di Secure Web Proxy:
gcloud
Utilizza il seguente comando per creare la route basata su criteri:
gcloud network-connectivity policy-based routes create POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-ilb-ip=SWP_IP \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=2 \
--project=PROJECT
Sostituisci quanto segue:
POLICY_BASED_ROUTE_NAME: il nome che vuoi assegnare alla route basata su criteriNETWORK_NAME: nome della reteSWP_IP: l'indirizzo IP della tua istanza Secure Web ProxyDESTINATION_RANGE: l'intervallo di indirizzi IP a cui reindirizzare il trafficoSOURCE_RANGE: l'intervallo di indirizzi IP da cui reindirizzare il trafficoPROJECT: il tuo ID progetto
A questo punto, segui questi passaggi per creare la route basata su criteri di routing predefinito:
gcloud
Utilizza il seguente comando per creare la route basata su criteri di routing predefinito:
gcloud network-connectivity policy-based routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-other-routes="DEFAULT_ROUTING" \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=1 \
--project=PROJECT
Sostituisci quanto segue:
DEFAULT_POLICY_BASED_ROUTE_NAME: il nome che vuoi assegnare la route basata su criteriNETWORK_NAME: il nome della tua reteDESTINATION_RANGE: l'intervallo di indirizzi IP a cui indirizzare il trafficoSOURCE_RANGE: l'intervallo di indirizzi IP da cui reindirizzare il trafficoPROJECT: il tuo ID progetto
Limitazioni
- Secure Web Proxy come hop successivo funziona solo con regole con TLS
è abilitato l'ispezione. Le regole senza ispezione TLS non possono essere utilizzate con le istanze di Secure Web Proxy in
NEXT_HOP_ROUTING_MODE. Per maggiori informazioni informazioni sull'ispezione TLS, consulta Panoramica dell'ispezione TLS. SecureWebProxyistanze conRoutingModeimpostato suNEXT_HOP_ROUTING_MODEsupportare solo il traffico HTTP(S). Altri tipi di traffico, nonché il traffico tra regioni, vengono ignorati senza avviso.- Quando utilizzi
next-hop-ilb, le limitazioni che si applicano ai bilanciatori del carico di rete passthrough interni si applicano agli hop successivi se l'hop successivo di destinazione è un'istanza di Secure Web Proxy. Per ulteriori informazioni, consulta le tabelle relative ai prossimi hop e alle funzionalità per le route statiche.