Para centralizar a implantação do Secure Web Proxy quando houver várias redes, adicione o Secure Web Proxy como um anexo de serviço do Private Service Connect.
É possível implantar o Secure Web Proxy como um anexo de serviço do Private Service Connect da seguinte maneira:
- Adicione o Secure Web Proxy como um anexo de serviço do Private Service Connect no lado do produtor de uma conexão do Private Service Connect.
- Crie um endpoint do consumidor do Private Service Connect em cada rede VPC que precisa estar conectada ao anexo do serviço do Private Service Connect.
- Direcione o tráfego de saída da carga de trabalho para o Secure Web Proxy centralizado na região e aplique políticas a esse tráfego.
Implantar o Secure Web Proxy como um anexo do serviço Private Service Connect usando um modelo de hub e spoke
Console
Implantar o Secure Web Proxy como um anexo de serviço na rede de nuvem privada virtual (VPC) central (Hub).
Para mais informações, consulte Publicar serviços usando o Private Service Connect.
Direcione a carga de trabalho de origem para o Secure Web Proxy criando um endpoint do Private Service Connect na rede VPC que inclua a carga de trabalho.
Para mais informações, consulte Criar um endpoint.
Crie uma política com uma regra que permita o tráfego da carga de trabalho (identificada pelo endereço IP de origem) para um destino específico (por exemplo: example.com).
Crie uma política com uma regra que bloqueie o tráfego da carga de trabalho (identificada pelo endereço IP de origem) para um destino específico (por exemplo: altostrat.com).
Para mais informações, consulte Criar uma política do Secure Web Proxy.
gcloud
Implantar o Secure Web Proxy como um anexo de serviço na rede VPC central (Hub).
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \ --target-service=SWP_INSTANCE \ --connection-preference ACCEPT_AUTOMATIC \ --nat-subnets NAT_SUBNET_NAME \ --region REGION \ --project PROJECT
Substitua:
SERVICE_ATTACHMENT_NAM: o nome do anexo de serviço.SWP_INSTANCE: o URL para acessar a instância do Secure Web Proxy.NAT_SUBNET_NAME: o nome da sub-rede do Cloud NAT.REGION: a região da implantação do Secure Web Proxy.PROJECT: o projeto da implantação.
Crie um endpoint do Private Service Connect na rede VPC que inclua a carga de trabalho.
gcloud compute forwarding-rules create ENDPOINT_NAME \ --region REGION \ --target-service-attachment=SERVICE_ATTACHMENT_NAME \ --project PROJECT \ --network NETWORK \ --subnet SUBNET \ --address= ADDRESS
Substitua:
ENDPOINT_NAM: o nome do endpoint do Private Service Connect.REGION: a região da implantação do Secure Web Proxy.SERVICE_ATTACHMENT_NAME: o nome do anexo de serviço criado anteriormente.PROJECT: o projeto da implantação.NETWORK: a rede VPC em que o endpoint é criado.SUBNET: a sub-rede da implantaçãoADDRESS: o endereço do endpoint.
Aponte a carga de trabalho para o Secure Web Proxy usando uma variável de proxy.
Crie uma política com uma regra que permita o tráfego da carga de trabalho (identificada pelo endereço IP de origem) para um destino específico (por exemplo: example.com).
Crie uma política com uma regra que bloqueie o tráfego da carga de trabalho (identificada pelo endereço IP de origem) para um destino específico (por exemplo: altostrat.com).
A seguir
- Configurar a inspeção de TLS
- Usar tags para criar políticas
- Atribuir endereços IP estáticos para o tráfego de saída
- Outras considerações sobre o modo de anexo do serviço Private Service Connect