Secure Web Proxy als Private Service Connect-Dienst veröffentlichen

Wenn Sie die Bereitstellung des Secure Web Proxy über mehrere VPC-Netzwerke zentralisieren möchten, können Sie den Secure Web Proxy über einen Private Service Connect-Dienst-Anhang verfügbar machen.

Für die Bereitstellung eines sicheren Web-Proxys mit Private Service Connect sind die folgenden Schritte erforderlich:

  1. Erstellen Sie eine Richtlinie und Regeln für den sicheren Web-Proxy.
  2. Erstellen Sie eine Secure Web Proxy-Instanz, die Ihre Richtlinie verwendet.
  3. Erstellen Sie einen Dienstanhang, um die Secure Web Proxy-Instanz als Private Service Connect-Dienst zu veröffentlichen.
  4. Erstellen Sie in jedem VPC-Netzwerk, das eine Verbindung zum Secure Web Proxy herstellen muss, einen Private Service Connect-Nutzerendpunkt.
  5. Leiten Sie den ausgehenden Traffic Ihrer Arbeitslast an die zentrale Secure Web Proxy-Instanz in der Region weiter.
Secure Web Proxy-Bereitstellung im Private Service Connect-Dienstanhangsmodus
Wenn Sie einen sicheren Webproxy als Private Service Connect-Dienst veröffentlichen, können Sie die Verwaltung des ausgehenden Traffics für Arbeitslasten in mehreren VPC-Netzwerken zentralisieren. Zum Vergrößern klicken.

Hinweise

Führen Sie die Schritte zur Ersteinrichtung aus, bevor Sie mit den Schritten auf dieser Seite fortfahren.

Secure Web Proxy-Instanz erstellen und konfigurieren

In diesem Leitfaden wird beschrieben, wie Sie eine Richtlinie für einen sicheren Webproxy und Regeln erstellen, die den Traffic nach Sitzung abgleichen.

Informationen zum optionalen Konfigurieren der TLS-Prüfung finden Sie unter TLS-Prüfung aktivieren.

Informationen zum optionalen Konfigurieren der Abgleichsfunktion auf Anwendungsebene finden Sie unter Eine Secure Web Proxy-Instanz bereitstellen.

Secure Web Proxy-Richtlinie erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite SWP-Richtlinien auf.

    Richtlinien zum Löschen von Dienstdaten aufrufen

  2. Klicken Sie auf Richtlinie erstellen.

  3. Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, z. B. myswppolicy.

  4. Geben Sie eine Beschreibung der Richtlinie ein.

  5. Wählen Sie in der Liste Regionen die Region aus, in der Sie die Webproxy-Richtlinie erstellen möchten.

  6. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie eine policy.yaml-Datei.

    description: basic Secure Web Proxy policy
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Projekt-ID Ihres Projekts
    • REGION: die Region der Richtlinie

  2. Erstellen Sie eine Secure Web Proxy-Richtlinie basierend auf policy.yaml.

    gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

Secure Web Proxy-Regeln zur Richtlinie hinzufügen

Konfigurieren Sie Regeln für sichere Web-Proxys, um ausgehenden Traffic von jeder Arbeitslast zuzulassen.

In diesem Abschnitt wird beschrieben, wie Sie eine Regel erstellen, um Traffic von Arbeitslasten zuzulassen, die durch ein Resource Manager-Tag oder ein Dienstkonto identifiziert werden. Informationen zum Abgleich von Zugriffen auf andere Weise finden Sie in der Referenz für die CEL-Abgleichssprache.

Console

  1. Rufen Sie in der Google Cloud Console die Seite SWP-Richtlinien auf.

    Richtlinien zum Löschen von Dienstdaten aufrufen

  2. Klicken Sie auf den Namen Ihrer Richtlinie.

  3. So fügen Sie Regeln hinzu, damit Arbeitslasten auf das Internet zugreifen können:

    1. Klicken Sie auf Regel hinzufügen.
    2. Geben Sie eine Priorität ein. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität hat.
    3. Geben Sie einen Namen ein.
    4. Geben Sie eine Beschreibung ein.
    5. Geben Sie einen Status ein.
    6. Wählen Sie unter Aktion die Option Zulassen aus.
    7. Klicken Sie auf Status und wählen Sie Aktiviert aus.

    8. Geben Sie im Bereich Sitzungsabgleich die Kriterien für den Sitzungsabgleich an.

      • Wenn Sie beispielsweise Traffic von Arbeitslasten mit der Resource Manager-Tag-Wert-ID tagValues/123456 zu google.com zulassen möchten, geben Sie Folgendes ein:

        source.matchTag('tagValues/123456') && host() == 'google.com'

      • Wenn Sie Traffic von Arbeitslasten, die das Dienstkonto account-name@my-project.iam.gserviceaccount.com verwenden, zu google.com zulassen möchten, geben Sie Folgendes ein:

        source.matchServiceAccount('account-name@my-project.iam.gserviceaccount.com') && host() == 'google.com'

    9. Klicken Sie auf Erstellen.

Cloud Shell

Gehen Sie für jede Regel, die Sie hinzufügen möchten, so vor:

  1. Erstellen Sie eine rule.yaml-Datei und geben Sie Kriterien für die Sitzungsabgleich an.

    • Wenn Sie den Traffic zu einer bestimmten Domain von Arbeitslasten zulassen möchten, die anhand der Resource Manager-Tag-Wert-ID identifiziert werden, erstellen Sie die folgende Datei:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME
description: Allow traffic based on tag
enabled: true
priority: PRIORITY
basicProfile: ALLOW
sessionMatcher: source.matchTag('TAG_VALUE_ID') && host() == 'DOMAIN_NAME'

      Ersetzen Sie Folgendes:

      • PROJECT_ID: Projekt-ID Ihres Projekts
      • REGION: die Region Ihrer Richtlinie
      • RULE_NAME: der Name der Regel
      • PRIORITY: Priorität der Regel. Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität hat.
      • TAG_VALUE_ID: die Tag-Wert-ID der Arbeitslasten, für die Traffic zugelassen werden soll
      • DOMAIN_NAME: der Domainname, für den Traffic zugelassen werden soll

    • Wenn Sie den Traffic zu einer bestimmten Domain von Arbeitslasten zulassen möchten, die ein Dienstkonto verwenden, erstellen Sie die folgende Datei:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME
description: Allow traffic based on service account
enabled: true
priority: PRIORITY
basicProfile: ALLOW
sessionMatcher: source.matchServiceAccount('SERVICE_ACCOUNT') && host() == 'DOMAIN_NAME'

      Ersetzen Sie SERVICE_ACCOUNT durch den Namen des Dienstkontos.

  2. Verwenden Sie den folgenden Befehl, um Ihre Richtlinie mit der in rule.yaml definierten Regel zu aktualisieren:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
   --source=rule.yaml \
   --location=REGION \
   --gateway-security-policy=policy1

Secure Web Proxy-Instanz bereitstellen

Stellen Sie eine Secure Web Proxy-Instanz im expliziten Routingmodus in dem VPC-Netzwerk (Virtual Private Cloud) bereit, das Sie für ausgehenden Traffic verwenden möchten. Verknüpfen Sie die Instanz beim Erstellen mit den Richtlinien und Regeln, die Sie in den vorherigen Schritten erstellt haben.

Beim Veröffentlichen eines Secure Web Proxy mit einem Private Service Connect-Dienstanhang wird der Next-Hop-Routing-Modus nicht unterstützt.

Informationen zum Konfigurieren der Instanz finden Sie unter Webproxy einrichten. Sie müssen die anderen Schritte auf dieser Seite derzeit nicht ausführen.

Secure Web Proxy als Private Service Connect-Dienst in einem Hub-and-Spoke-Modell bereitstellen

In diesem Abschnitt wird beschrieben, wie Sie Secure Web Proxy als Private Service Connect-Dienst bereitstellen und mithilfe eines Hub-and-Spoke-Modells die Verwaltung des ausgehenden Traffics zentralisieren.

Secure Web Proxy als Private Service Connect-Dienst veröffentlichen

Wenn Sie Secure Web Proxy als Dienst veröffentlichen möchten, erstellen Sie ein Private Service Connect-Subnetz und einen Dienstanhang. Das Subnetz und der Dienstanhang müssen sich in derselben Region befinden wie die Private Service Connect-Endpunkte, die auf den Dienstanhang zugreifen.

Subnetz für Private Service Connect erstellen

So erstellen Sie ein Subnetz für Private Service Connect:

Console

  1. Rufen Sie in der Google Cloud -Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf den Namen eines VPC-Netzwerks, um die zugehörige Seite VPC-Netzwerkdetails aufzurufen.

  3. Klicken Sie auf Subnetze.

  4. Klicken Sie auf Subnetz hinzufügen. Führen Sie im angezeigten Steuerfeld die folgenden Schritte aus:

    1. Geben Sie einen Namen an.
    2. Wählen Sie eine Region aus.
    3. Wählen Sie im Abschnitt Zweck die Option Private Service Connect aus.
    4. Wählen Sie für IP-Stack-Typ die Option IPv4 (einzelner Stack) oder IPv4 und IPv6 (Dual-Stack) aus.
    5. Geben Sie einen IPv4-Bereich ein. Beispiel: 10.10.10.0/24.
    6. Wenn Sie ein Dual-Stack-Subnetz erstellen, legen Sie den IPv6-Zugriffstyp auf Intern fest.
    7. Klicken Sie auf Hinzufügen.

Cloud Shell

Führen Sie einen der folgenden Schritte aus:

  • So erstellen Sie ein Nur-IPv4-Private Service Connect-Subnetz:

    gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME \
    --region=REGION \
    --range=SUBNET_RANGE \
    --purpose=PRIVATE_SERVICE_CONNECT

  • So erstellen Sie ein Dual-Stack-Private Service Connect-Subnetz:

    gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME \
    --region=REGION \
    --stack-type=IPV4_IPV6 \
    --ipv6-access-type=INTERNAL \
    --range=SUBNET_RANGE \
    --purpose=PRIVATE_SERVICE_CONNECT

Ersetzen Sie Folgendes:

  • SUBNET_NAME: der Name, der dem Subnetz zugewiesen werden soll.

  • NETWORK_NAME: der Name der VPC für das neue Subnetz.

  • REGION: die Region für das neue Subnetz. Dies muss dieselbe Region sein wie der Dienst, den Sie veröffentlichen.

  • SUBNET_RANGE: der IPv4-Adressbereich, der für das Subnetz verwendet werden soll, z. B. 10.10.10.0/24.

Dienstanhang erstellen

So veröffentlichen Sie Secure Web Proxy als Dienstanhang im zentralen (Hub-)VPC-Netzwerk:

In diesem Abschnitt wird beschrieben, wie Sie einen Dienstanhang erstellen, der alle Verbindungen automatisch akzeptiert. Informationen zu expliziter Genehmigung oder anderen Konfigurationsoptionen finden Sie unter Dienst mit expliziter Genehmigung veröffentlichen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf Dienst veröffentlichen.

  4. Wählen Sie im Bereich Zieldetails die Option Sicherer Webproxy aus.

  5. Wählen Sie die Secure Web Proxy-Instanz aus, die Sie veröffentlichen möchten. Die Felder für Netzwerk und Region werden mit den Details für die ausgewählte Secure Web Proxy-Instanz ausgefüllt.

  6. Geben Sie unter Dienstname einen Namen für den Dienstanhang ein.

  7. Wählen Sie ein oder mehrere Private Service Connect-Subnetze für den Dienst aus. Die Liste enthält Subnetze aus dem VPC-Netzwerk der ausgewählten Secure Web Proxy-Instanz.

  8. Wählen Sie im Bereich Verbindungseinstellung die Option Alle Verbindungen automatisch akzeptieren aus.

  9. Klicken Sie auf Dienst hinzufügen.

Cloud Shell

Führen Sie den Befehl gcloud compute service-attachments create aus.

gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \
    --target-service=SWP_INSTANCE_URI \
    --connection-preference=ACCEPT_AUTOMATIC \
    --nat-subnets=NAT_SUBNET_NAME \
    --region=REGION \
    --project=PROJECT \

Ersetzen Sie Folgendes:

  • SERVICE_ATTACHMENT_NAME: der Name des Dienstanhangs
  • SWP_INSTANCE_URI: URI der Instanz des sicheren Web-Proxys im folgenden Format: //networkservices.googleapis.com/projects/PROJECT_ID/locations/REGION/gateways/INSTANCE_NAME
  • NAT_SUBNET_NAME: der Name des Private Service Connect-Subnetzes
  • REGION: die Region der Secure Web Proxy-Bereitstellung
  • PROJECT: das Projekt der Bereitstellung des sicheren Web-Proxys

Endpunkte erstellen

Erstellen Sie in jedem VPC-Netzwerk und jeder Region einen Endpunkt, über den ausgehender Traffic durch die zentrale Instanz des sicheren Web-Proxys gesendet werden muss. Wiederholen Sie die folgenden Schritte für jeden Endpunkt, den Sie erstellen möchten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Verbundene Endpunkte.

  3. Klicken Sie auf Endpunkt verbinden.

  4. Wählen Sie für Ziel die Option Veröffentlichter Dienst aus.

  5. Geben Sie bei Zieldienst den URI des Dienstanhangs ein, zu dem Sie eine Verbindung herstellen möchten.

    Der URI des Dienstanhangs hat folgendes Format: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME.

  6. Geben Sie unter Endpunktname einen Namen für den Endpunkt ein.

  7. Wählen Sie ein Netzwerk für den Endpunkt aus.

  8. Wählen Sie ein Subnetzwerk für den Endpunkt aus.

  9. Wählen Sie eine IP-Adresse für den Endpunkt aus. Wenn Sie eine neue IP-Adresse benötigen, können Sie eine erstellen:

    1. Klicken Sie auf das Drop-down-Menü IP-Adresse und wählen Sie IP-Adresse erstellen aus.
    2. Geben Sie einen Namen und optional eine Beschreibung für die IP-Adresse ein.
    3. Wählen Sie eine IP-Version aus.

    4. Wenn Sie eine IPv4-Adresse erstellen, wählen Sie Automatisch zuweisen oder Selbst auswählen aus.

      Wenn Sie Selbst auswählen ausgewählt haben, geben Sie die benutzerdefinierte IP-Adresse ein, die Sie verwenden möchten.

    5. Klicken Sie auf Reservieren.

  10. Klicken Sie auf Endpunkt hinzufügen.

Cloud Shell

  1. Reservieren Sie eine interne IP-Adresse, die Sie dem Endpunkt zuweisen möchten.

    gcloud compute addresses create ADDRESS_NAME \
    --region=REGION \
    --subnet=SUBNET \
    --ip-version=IP_VERSION

    Ersetzen Sie dabei Folgendes:

    • ADDRESS_NAME: der Name, der der reservierten IP-Adresse zugewiesen werden soll.

    • REGION: die Region für die Endpunkt-IP-Adresse. Dies muss dieselbe Region sein, die den Dienstanhang des Diensterstellers enthält.

    • SUBNET: der Name des Subnetzes für die Endpunkt-IP-Adresse.

    • IP_VERSION: die IP-Version der IP-Adresse, entweder IPV4 oder IPV6. Standardmäßig ist IPV4 ausgewählt. Zum Angeben von IPV6 muss die IP-Adresse mit einem Subnetz mit einem internen IPv6-Adressbereich verbunden sein.

  2. Erstellen Sie eine Weiterleitungsregel, um den Endpunkt mit dem Dienstanhang des Diensterstellers zu verbinden.

    gcloud compute forwarding-rules create ENDPOINT_NAME \
   --region=REGION \
   --network=NETWORK_NAME \
   --address=ADDRESS_NAME \
   --target-service-attachment=SERVICE_ATTACHMENT

    Dabei gilt:

    • ENDPOINT_NAME: der Name, der dem Endpunkt zugewiesen werden soll.

    • REGION: die Region für den Endpunkt. Dies muss dieselbe Region sein, die den Dienstanhang des Diensterstellers enthält.

    • NETWORK_NAME: der Name des VPC-Netzwerks für den Endpunkt.

    • ADDRESS_NAME: der Name der reservierten Adresse.

    • SERVICE_ATTACHMENT: der URI des Dienstanhangs des Diensterstellers. Beispiel: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Arbeitslasten auf Private Service Connect-Endpunkte verweisen

Konfigurieren Sie Proxy-Umgebungsvariablen so, dass für jede Arbeitslast die IP-Adresse eines Private Service Connect-Endpunkts für ausgehenden Traffic verwendet wird.

Für eine Arbeitslast in einer Linux- oder macOS-Umgebung können Sie beispielsweise die Umgebungsvariablen HTTP_PROXY und HTTPS_PROXY vorübergehend über die Befehlszeile konfigurieren:

export HTTP_PROXY="http://ENDPOINT_IP_ADDRESS:HTTP_PORT"
export HTTPS_PROXY="https://ENDPOINT_IP_ADDRESS:HTTPS_PORT"

Ersetzen Sie Folgendes:

  • ENDPOINT_IP_ADDRESS: die interne IP-Adresse Ihres Endpunkts
  • HTTP_PORT: der Port für den Empfang von HTTP-Traffic
  • HTTPS_PORT: der Port für den Empfang von HTTPS-Traffic

Informationen zum dauerhaften Festlegen von Proxyvariablen in der Umgebung Ihrer Arbeitslasten finden Sie in der Dokumentation Ihres Betriebssystems.

Nächste Schritte