Esta página oferece uma vista geral de como criar uma política de proxy Web seguro e, em seguida, explica como configurar o encaminhamento do próximo salto para a sua instância de proxy Web seguro. Além disso, esta página descreve como configurar o encaminhamento estático ou o encaminhamento baseado em políticas para o seu próximo salto.
Por predefinição, as instâncias SecureWebProxy têm um valor RoutingMode de
EXPLICIT_ROUTING_MODE, o que significa que tem de configurar as suas cargas de trabalho para
enviar explicitamente tráfego HTTP(S) para o proxy Web seguro. Em vez de configurar clientes individuais para apontarem para a sua instância do proxy Web seguro, pode definir o RoutingMode da instância do proxy Web seguro como NEXT_HOP_ROUTING_MODE, o que lhe permite definir rotas que direcionam o tráfego para a sua instância do proxy Web seguro.
Configure o encaminhamento do próximo salto para o Secure Web Proxy
Esta secção descreve os passos para criar uma política de proxy Web seguro e o procedimento para implementar a sua instância de proxy Web seguro como próximo salto.
Crie uma política de Secure Web Proxy
- Conclua todos os passos de pré-requisito necessários.
- Crie uma política de proxy Web seguro.
- Crie regras do Secure Web Proxy.
Implemente a sua instância do Secure Web Proxy como salto seguinte
Consola
Na Google Cloud consola, aceda à página Proxies Web.
Clique em Criar um proxy Web seguro.
Introduza um nome para o proxy Web que quer criar, como
myswp.Introduza uma descrição do proxy Web, como
My new swp.Para Modo de encaminhamento, selecione a opção Próximo salto.
Na lista Regiões, selecione a região onde quer criar o proxy Web.
Na lista Rede, selecione a rede onde quer criar o proxy Web.
Na lista Sub-rede, selecione a sub-rede onde quer criar o proxy Web.
Opcional: introduza o endereço IP do proxy Web seguro. Pode introduzir um endereço IP do intervalo de endereços IP do proxy Web seguro que reside na sub-rede que criou no passo anterior. Se não introduzir o endereço IP, a instância do proxy Web seguro escolhe automaticamente um endereço IP da sub-rede selecionada.
Na lista Certificado, selecione o certificado que quer usar para criar o proxy Web.
Na lista Política, selecione a política que criou para associar ao proxy Web.
Clique em Criar.
Cloud Shell
Crie o ficheiro
gateway.yaml.name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443, 80] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/NETWORK subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK routingMode: NEXT_HOP_ROUTING_MODECrie uma instância do Secure Web Proxy.
gcloud network-services gateways import swp1 \ --source=gateway.yaml \ --location=REGIONA implementação de uma instância de proxy Web seguro pode demorar vários minutos.
Crie rotas para o próximo salto
Depois de criar uma instância do proxy Web seguro, pode configurar o encaminhamento estático ou o encaminhamento baseado em políticas para o próximo salto:
- As rotas estáticas direcionam o tráfego na sua rede para a instância do proxy Web seguro na mesma região. Para configurar uma rota estática com o seu proxy Web seguro como o próximo salto, tem de configurar etiquetas de rede.
- As rotas baseadas em políticas permitem direcionar o tráfego para a sua instância de proxy Web seguro a partir de um intervalo de endereços IP de origem. Quando configura uma rota baseada em políticas pela primeira vez, também tem de configurar outra rota baseada em políticas para ser a rota predefinida.
As duas secções seguintes explicam como criar rotas estáticas e rotas baseadas em políticas.
Crie rotas estáticas
Para encaminhar o tráfego para a sua instância de proxy Web seguro, configure uma rota estática com o comando gcloud compute routes create. Tem de associar a rota estática a uma etiqueta de rede e usar a mesma etiqueta de rede em todos os seus recursos de origem para ajudar a garantir que o respetivo tráfego é redirecionado para a sua instância de proxy Web seguro. As rotas estáticas não permitem definir um intervalo de endereços IP de origem.
Para mais informações sobre como funcionam as rotas estáticas no Google Cloud, consulte o artigo Rotas estáticas.
gcloud
Use o seguinte comando para criar uma rota estática.
gcloud compute routes create STATIC_ROUTE_NAME \
--network=NETWORK_NAME \
--next-hop-ilb=SWP_IP \
--destination-range=DESTINATION_RANGE \
--priority=PRIORITY \
--tags=TAGS \
--project=PROJECT
Substitua o seguinte:
STATIC_ROUTE_NAME: nome do seu trajeto estáticoNETWORK_NAME: nome da sua redeSWP_IP: endereço IP da sua instância na sub-rede especificada no ficheiroSecureWebProxygateway.yamlDESTINATION_RANGE: intervalo de endereços IP para os quais quer redirecionar o tráfego. Por exemplo, use0.0.0.0/0para encaminhar todo o tráfego da Internet para a sua instância do proxy Web seguroPRIORITY: prioridade do seu trajeto; os números mais elevados indicam uma prioridade inferior. Certifique-se de que a prioridade do seu trajeto é numericamente inferior à do trajeto de Internet predefinido, que é normalmente1000TAGS: lista de etiquetas separadas por vírgulas que vai usar com a sua instância do Secure Web ProxyPROJECT: ID do seu projeto
Crie uma VM na sub-rede adequada com etiquetas de rede especificadas na rota
gcloud compute instances create swp-nexthop-test-vm \
--subnet=SUBNETWORK \
--zone=ZONE \
--image-project=debian-cloud \
--image-family=debian-11 \
--tags=TAGSSubstitua o seguinte:
SUBNETWORK: sub-rede que configurou para o proxy WebZONE: zona da instância de VM de testeTAGS: lista de etiquetas separadas por vírgulas que vai usar com a sua instância do Secure Web Proxy
Crie rotas baseadas em políticas
Em alternativa ao encaminhamento estático, pode configurar uma rota baseada em políticas através do comando network-connectivity policy-based-routes create. Também tem de criar uma rota baseada em políticas para ser a rota predefinida, o que ativa o encaminhamento predefinido para o tráfego entre instâncias de máquinas virtuais (VMs) na sua rede. Para mais informações sobre o funcionamento dos trajetos baseados em políticas no
Google Cloud, consulte o artigo Encaminhamento baseado em políticas.
A prioridade da rota que ativa o encaminhamento predefinido tem de ser superior (numericamente inferior) à prioridade da rota baseada em políticas que direciona o tráfego para a instância do proxy Web seguro. Se criar a rota baseada em políticas com uma prioridade superior à da rota que ativa o encaminhamento predefinido, esta tem prioridade sobre todas as outras rotas da VPC.
Use o exemplo seguinte para criar uma rota baseada em políticas que direcione o tráfego para a sua instância de proxy Web seguro.
gcloud
Use o seguinte comando para criar a rota baseada em políticas.
gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-ilb-ip=SWP_IP \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=2 \
--project=PROJECT
Substitua o seguinte:
POLICY_BASED_ROUTE_NAME: nome do seu trajeto baseado em políticasNETWORK_NAME: nome da sua redeSWP_IP: endereço IP da instância do Secure Web ProxyDESTINATION_RANGE: intervalo de endereços IP para os quais quer redirecionar o tráfegoSOURCE_RANGE: intervalo de endereços IP a partir dos quais quer redirecionar o tráfegoPROJECT: ID do seu projeto
Em seguida, use os passos seguintes para criar a rota baseada em políticas de encaminhamento predefinida.
gcloud
Use o seguinte comando para criar a rota baseada em políticas de encaminhamento predefinida.
gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-other-routes="DEFAULT_ROUTING" \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=1 \
--project=PROJECT
Substitua o seguinte:
DEFAULT_POLICY_BASED_ROUTE_NAME: nome do seu trajeto baseado em políticasNETWORK_NAME: nome da sua redeDESTINATION_RANGE: intervalo de endereços IP para os quais quer redirecionar o tráfegoSOURCE_RANGE: intervalo de endereços IP a partir dos quais quer redirecionar o tráfegoPROJECT: ID do seu projeto
Lista de verificação pós-implementação
Certifique-se de que conclui as seguintes tarefas depois de configurar uma rota estática ou uma rota baseada em políticas com a sua instância de proxy Web seguro como o próximo salto:
- Confirme que existe uma rota predefinida para o gateway da Internet.
- Adicione a etiqueta de rede correta à rota estática que aponta para a sua instância de proxy Web seguro como salto seguinte.
- Defina uma prioridade adequada para a rota predefinida para a sua instância de proxy Web seguro como o próximo salto.
- Uma vez que o Secure Web Proxy é um serviço regional, certifique-se de que o tráfego do cliente tem origem na mesma região que a sua instância do Secure Web Proxy.
Limitações
- As instâncias do
SecureWebProxycomRoutingModedefinido comoNEXT_HOP_ROUTING_MODEsuportam tráfego de proxy HTTP(S) e TCP. Outros tipos de tráfego, incluindo o tráfego entre regiões, são ignorados sem notificação. - Quando usa
next-hop-ilb, as limitações que se aplicam aos equilibradores de carga de passagem interna aplicam-se aos saltos seguintes se o salto seguinte de destino for uma instância de proxy Web seguro. Para mais informações, consulte as tabelas de funcionalidades e saltos seguintes para rotas estáticas. - Todo o tráfego das máquinas virtuais (VMs), incluindo o tráfego em segundo plano e as atualizações, com o qual a sua rota de próximo salto corresponde, é encaminhado para a sua instância do proxy Web seguro.
- Para uma rede VPC numa região, só pode implementar um proxy Web seguro como instância de salto seguinte (SWPaNH).