Wenn Sie die Bereitstellung des sicheren Web-Proxys bei mehreren Netzwerken zentralisieren möchten, können Sie den sicheren Web-Proxy als Private Service Connect-Dienstanhang hinzufügen.
So stellen Sie Secure Web Proxy als Private Service Connect-Dienstanhang bereit:
- Fügen Sie den sicheren Web-Proxy als Private Service Connect-Dienstanhang auf der Erstellerseite einer Private Service Connect-Verbindung hinzu.
- Erstellen Sie in jedem VPC-Netzwerk, das mit dem Private Service Connect-Dienstanhang verbunden werden muss, einen Private Service Connect-Nutzerendpunkt.
- Leiten Sie den ausgehenden Traffic Ihrer Arbeitslast an den zentralen Secure Web Proxy innerhalb der Region weiter und wenden Sie Richtlinien auf diesen Traffic an.
Secure Web Proxy als Private Service Connect-Dienstanhang mit einem Hub-and-Spoke-Modell bereitstellen
Console
Binden Sie den sicheren Webproxy als Dienstanhang in das zentrale (Hub-)VPC-Netzwerk (Virtual Private Cloud) ein.
Weitere Informationen finden Sie unter Dienste mit Private Service Connect veröffentlichen.
Weisen Sie die Quellarbeitslast dem sicheren Webproxy zu, indem Sie einen Private Service Connect-Endpunkt im VPC-Netzwerk erstellen, das die Arbeitslast enthält.
Weitere Informationen finden Sie unter Endpunkt erstellen.
Erstellen Sie eine Richtlinie mit einer Regel, die Traffic von der Arbeitslast (anhand der Quell-IP-Adresse identifiziert) an ein bestimmtes Ziel (z. B. beispiel.de) zulässt.
Erstellen Sie eine Richtlinie mit einer Regel, die den Traffic von der Arbeitslast (anhand der Quell-IP-Adresse identifiziert) an ein bestimmtes Ziel blockiert (z. B. altostrat.com).
Weitere Informationen finden Sie unter Richtlinie für sicheren Webproxy erstellen.
gcloud
Binden Sie den sicheren Webproxy als Dienstanhang im zentralen VPC-Netzwerk (Hub) ein.
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \ --target-service=SWP_INSTANCE \ --connection-preference ACCEPT_AUTOMATIC \ --nat-subnets NAT_SUBNET_NAME \ --region REGION \ --project PROJECT
Ersetzen Sie Folgendes:
SERVICE_ATTACHMENT_NAM: der Name des DienstanhangsSWP_INSTANCE: die URL für den Zugriff auf die Instanz des sicheren Web-ProxysNAT_SUBNET_NAME: Name des Cloud NAT-SubnetzesREGION: die Region der Bereitstellung des sicheren Web-ProxysPROJECT: das Projekt der Bereitstellung
Erstellen Sie einen Private Service Connect-Endpunkt im VPC-Netzwerk, das die Arbeitslast enthält.
gcloud compute forwarding-rules create ENDPOINT_NAME \ --region REGION \ --target-service-attachment=SERVICE_ATTACHMENT_NAME \ --project PROJECT \ --network NETWORK \ --subnet SUBNET \ --address= ADDRESS
Ersetzen Sie Folgendes:
ENDPOINT_NAM: der Name des Private Service Connect-EndpunktsREGION: die Region der Bereitstellung des sicheren Web-ProxysSERVICE_ATTACHMENT_NAME: der Name des zuvor erstellten DienstanhangsPROJECT: das Projekt der BereitstellungNETWORK: das VPC-Netzwerk, in dem der Endpunkt erstellt wirdSUBNET: das Subnetz der BereitstellungADDRESS: die Adresse des Endpunkts
Weisen Sie die Arbeitslast mithilfe einer Proxyvariablen dem Secure Web Proxy zu.
Erstellen Sie eine Richtlinie mit einer Regel, die Traffic von der Arbeitslast (anhand der Quell-IP-Adresse identifiziert) an ein bestimmtes Ziel (z. B. beispiel.de) zulässt.
Erstellen Sie eine Richtlinie mit einer Regel, die den Traffic von der Arbeitslast (anhand der Quell-IP-Adresse identifiziert) an ein bestimmtes Ziel blockiert (z. B. altostrat.com).
Nächste Schritte
- TLS-Prüfung konfigurieren
- Richtlinien über Tags erstellen
- Statische IP-Adressen für ausgehenden Traffic zuweisen
- Zusätzliche Hinweise zum Modus für Private Service Connect-Dienstanhänge