跨多个网络环境时,集中管理安全 Web 代理部署 您可以添加安全 Web 代理, 作为 Private Service Connect 服务连接。
您可以将安全 Web 代理部署为 Private Service Connect 服务连接,具体方法如下:
- 在 Private Service Connect 连接的提供方端,将安全 Web 代理添加为 Private Service Connect 服务连接。
- 在每个位置创建一个 Private Service Connect 使用方端点 需要连接到该 VPC 网络 Private Service Connect 服务连接。
- 将工作负载出站流量指向集中式安全 Web 代理 并对这些流量应用政策。
使用集线器和辐条模型将安全 Web 代理部署为 Private Service Connect 服务连接
控制台
在中央 (Hub) Virtual Private Cloud (VPC) 网络中将安全 Web 代理部署为服务附件。
如需了解详情,请参阅使用 Private Service Connect 发布服务。
在包含工作负载的 VPC 网络中创建 Private Service Connect 端点,将源工作负载指向安全 Web 代理。
如需了解详情,请参阅创建端点。
创建一个包含规则的政策,允许从工作负载(通过源 IP 地址标识)到特定目的地(例如 example.com)的流量。
创建一项政策,并在其中添加禁止来自工作负载的流量的规则 (由来源 IP 地址标识)发送到特定目标 (例如:altostrat.com)。
如需了解详情,请参阅 创建安全 Web 代理政策。
gcloud
在中央(中心)VPC 网络中将安全 Web 代理部署为服务附件。
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \ --target-service=SWP_INSTANCE \ --connection-preference ACCEPT_AUTOMATIC \ --nat-subnets NAT_SUBNET_NAME \ --region REGION \ --project PROJECT
替换以下内容:
SERVICE_ATTACHMENT_NAM: 服务连接SWP_INSTANCE:用于访问 安全 Web 代理实例NAT_SUBNET_NAME:Cloud NAT 子网的名称REGION:安全 Web 代理所在的区域 部署PROJECT:部署的项目
在包含工作负载的 VPC 网络中创建 Private Service Connect 端点。
gcloud compute forwarding-rules create ENDPOINT_NAME \ --region REGION \ --target-service-attachment=SERVICE_ATTACHMENT_NAME \ --project PROJECT \ --network NETWORK \ --subnet SUBNET \ --address= ADDRESS
替换以下内容:
ENDPOINT_NAM: Private Service Connect 端点REGION:安全 Web 代理所在的区域 部署SERVICE_ATTACHMENT_NAME:之前创建的服务附件的名称PROJECT:部署的项目NETWORK:VPC 网络 端点创建SUBNET:部署的子网ADDRESS:端点的地址
使用代理变量将工作负载指向安全 Web 代理。
创建一个包含规则的政策,允许从工作负载(通过源 IP 地址标识)到特定目的地(例如 example.com)的流量。
创建一项政策,并在其中添加禁止来自工作负载的流量的规则 (由来源 IP 地址标识)发送到特定目标 (例如:altostrat.com)。