보안 웹 프록시를 다음 홉으로 배포

기본적으로 SecureWebProxy 인스턴스의 RoutingMode 값은 EXPLICIT_ROUTING_MODE입니다. 즉, HTTP(S) 트래픽을 보안 웹 프록시에 명시적으로 전송하도록 워크로드를 구성해야 합니다. 보안 웹 프록시 인스턴스로 전달하도록 개별 클라이언트를 구성하는 대신 보안 웹 프록시 인스턴스의 RoutingModeNEXT_HOP_ROUTING_MODE로 설정하면 됩니다. 그러면 보안 웹 프록시 인스턴스로 트래픽을 전달하는 경로를 정의할 수 있습니다.

이 문서에서는 보안 웹 프록시로 다음 홉 라우팅을 구성하는 방법을 설명합니다. RoutingModeNEXT_HOP_ROUTING_MODE로 설정된 보안 웹 프록시 인스턴스가 이미 있다고 가정합니다. 기존 보안 웹 프록시 인스턴스가 없는 경우 빠른 시작 가이드의 안내에 따라 인스턴스를 만들고 RoutingModeNEXT_HOP_ROUTING_MODE로 설정합니다.

보안 웹 프록시를 만든 후 다음 홉에 정적 라우팅 또는 정책 기반 라우팅을 구성할 수 있습니다.

  • 정적 경로는 네트워크 내 트래픽을 동일한 리전의 보안 웹 프록시로 전달합니다. 보안 웹 프록시를 다음 홉으로 사용하는 정적 경로를 설정하려면 네트워크 태그를 구성해야 합니다.
  • 정책 기반 경로를 사용하면 소스 IP 주소 범위에서 보안 웹 프록시로 트래픽을 전달할 수 있습니다. 또한 정책 기반 경로를 처음으로 구성할 때는 다른 정책 기반 경로를 기본 경로로 구성해야 합니다.

다음 섹션에서는 정적 경로와 정책 기반 경로를 만드는 방법을 설명합니다.

정적 경로 만들기

보안 웹 프록시 인스턴스로 트래픽을 라우팅하려면 gcloud compute routes create 명령어로 정적 경로를 설정하면 됩니다. 정적 경로를 네트워크 태그와 연결하고 모든 소스 리소스에 동일한 네트워크 태그를 사용하여 트래픽이 보안 웹 프록시로 리디렉션되도록 해야 합니다. 정적 경로는 소스 IP 주소 범위를 정의할 수 없습니다.

gcloud

다음 명령어를 사용하여 정적 경로를 만듭니다.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

다음을 바꿉니다.

  • STATIC_ROUTE_NAME: 정적 경로에 원하는 이름
  • NETWORK_NAME: 네트워크 이름
  • SWP_IP: SecureWebProxy 인스턴스 IP 주소
  • DESTINATION_RANGE: 트래픽을 리디렉션할 IP 주소 범위
  • PRIORITY: 경로의 우선순위. 숫자가 클수록 우선순위가 낮습니다.
  • TAGS: 보안 웹 프록시용으로 만든 태그의 쉼표로 구분된 목록
  • PROJECT: 프로젝트 ID입니다.

정책 기반 경로 만들기

정적 라우팅 대신 network-connectivity policy-based routes create 명령어를 사용하여 정책 기반 경로를 설정할 수 있습니다. 또한 정책 기반 경로를 기본 경로로 만들어야 합니다. 그러면 네트워크 내 가상 머신(VM) 인스턴스 간의 트래픽에 기본 라우팅이 사용 설정됩니다.

기본 라우팅을 사용 설정하는 경로의 우선순위는 트래픽을 보안 웹 프록시 인스턴스로 전달하는 정책 기반 경로의 우선순위보다 높아야 합니다(숫자가 더 낮아야 함). 기본 라우팅을 사용 설정하는 경로보다 우선순위가 높은 정책 기반 경로를 만들면 이 경로가 다른 모든 VPC 경로보다 우선 적용됩니다.

다음 예에서는 트래픽을 보안 웹 프록시 인스턴스로 전달하는 정책 기반 경로를 만듭니다.

gcloud

다음 명령어를 사용하여 정책 기반 경로를 만듭니다.

gcloud network-connectivity policy-based routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

다음을 바꿉니다.

  • POLICY_BASED_ROUTE_NAME: 정책 기반 경로에 원하는 이름
  • NETWORK_NAME: 네트워크 이름
  • SWP_IP: 보안 웹 프록시 인스턴스의 IP 주소
  • DESTINATION_RANGE: 트래픽을 리디렉션할 IP 주소 범위
  • SOURCE_RANGE: 트래픽을 리디렉션할 IP 주소 범위
  • PROJECT: 프로젝트 ID입니다.

이제 다음 단계에 따라 기본 라우팅 정책 기반 경로를 만듭니다.

gcloud

다음 명령어를 사용하여 기본 라우팅 정책 기반 경로를 만듭니다.

gcloud network-connectivity policy-based routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

다음을 바꿉니다.

  • DEFAULT_POLICY_BASED_ROUTE_NAME: 정책 기반 경로에 원하는 이름
  • NETWORK_NAME: 네트워크 이름
  • DESTINATION_RANGE: 트래픽을 리디렉션할 IP 주소 범위
  • SOURCE_RANGE: 트래픽을 리디렉션할 IP 주소 범위
  • PROJECT: 프로젝트 ID입니다.

제한사항

  • 다음 홉으로 사용되는 보안 웹 프록시는 TLS 검사가 사용 설정된 규칙에서만 작동합니다. TLS 검사가 없는 규칙은 NEXT_HOP_ROUTING_MODE의 보안 웹 프록시 인스턴스와 함께 사용할 수 없습니다. TLS 검사에 관한 자세한 내용은 TLS 검사 개요를 참조하세요.
  • RoutingModeNEXT_HOP_ROUTING_MODE로 설정된 SecureWebProxy 인스턴스는 HTTP(S) 트래픽만 지원합니다. 리전 간 트래픽과 다른 유형의 트래픽은 알림 없이 삭제됩니다.
  • next-hop-ilb를 사용하는 경우 대상 다음 홉이 보안 웹 프록시 인스턴스인 경우 내부 패스 스루 네트워크 부하 분산기에 적용되는 제한사항이 다음 홉에 적용됩니다. 자세한 내용은 정적 경로의 다음 홉 및 기능 표를 참조하세요.