Secure Web Proxy als Private Service Connect-Dienstanhang bereitstellen

Wenn Sie die Bereitstellung des sicheren Web-Proxys bei mehreren Netzwerken zentralisieren möchten, können Sie den sicheren Web-Proxy als Private Service Connect-Dienstanhang hinzufügen.

Sie können Secure Web Proxy als Private Service Connect bereitstellen Dienstanhang so:

  1. Secure Web Proxy als Private Service Connect-Dienst hinzufügen Anhang auf der Producer-Seite von Private Service Connect
  2. Erstellen Sie in jedem VPC-Netzwerk, das mit dem Private Service Connect-Dienstanhang verbunden werden muss, einen Private Service Connect-Nutzerendpunkt.
  3. Leiten Sie den ausgehenden Traffic Ihrer Arbeitslast an den zentralen Secure Web Proxy innerhalb der Region weiter und wenden Sie Richtlinien auf diesen Traffic an.
Secure Web Proxy-Bereitstellung im Private Service Connect-Dienstanhangsmodus
Sichere Web-Proxy-Bereitstellung im Anhangsmodus des Private Service Connect-Dienstes (zum Vergrößern klicken)

Secure Web Proxy mithilfe eines Hub-and-Spoke-Modells als Private Service Connect-Dienstanhang bereitstellen

Console

  1. Eine Secure Web Proxy-Instanz bereitstellen

  2. Binden Sie den sicheren Webproxy als Dienstanhang in das zentrale (Hub-)VPC-Netzwerk (Virtual Private Cloud) ein.

    Weitere Informationen finden Sie unter Dienste mit Private Service Connect veröffentlichen.

  3. Weisen Sie die Quellarbeitslast dem sicheren Webproxy zu, indem Sie einen Private Service Connect-Endpunkt im VPC-Netzwerk erstellen, das die Arbeitslast enthält.

    Weitere Informationen finden Sie unter Endpunkt erstellen.

  4. Erstellen Sie eine Richtlinie mit einer Regel, die Traffic von der Arbeitslast (anhand der Quell-IP-Adresse identifiziert) an ein bestimmtes Ziel (z. B. beispiel.de) zulässt.

  5. Erstellen Sie eine Richtlinie mit einer Regel, die den Traffic von der Arbeitslast (anhand der Quell-IP-Adresse identifiziert) an ein bestimmtes Ziel blockiert (z. B. altostrat.com).

    Weitere Informationen finden Sie unter Richtlinie für sicheren Webproxy erstellen.

gcloud

  1. Eine Secure Web Proxy-Instanz bereitstellen

  2. Secure Web Proxy als Dienstanhang im zentralen Hub bereitstellen VPC-Netzwerk.

    gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \
      --target-service=SWP_INSTANCE \ 
      --connection-preference ACCEPT_AUTOMATIC \ 
      --nat-subnets NAT_SUBNET_NAME \ 
      --region REGION  \
      --project PROJECT
    

    Ersetzen Sie Folgendes:

    • SERVICE_ATTACHMENT_NAM: der Name des Dienstanhangs
    • SWP_INSTANCE: URL für den Zugriff auf die Instanz des sicheren Web-Proxys
    • NAT_SUBNET_NAME: der Name von Cloud NAT Subnetz
    • REGION: die Region der Bereitstellung des sicheren Web-Proxys
    • PROJECT: das Projekt der Bereitstellung
  3. Erstellen Sie einen Private Service Connect-Endpunkt im VPC-Netzwerk, das die Arbeitslast enthält.

    gcloud compute forwarding-rules create ENDPOINT_NAME \
      --region REGION  \
      --target-service-attachment=SERVICE_ATTACHMENT_NAME  \
      --project PROJECT \
      --network NETWORK \
      --subnet SUBNET  \
      --address= ADDRESS
    

    Ersetzen Sie Folgendes:

    • ENDPOINT_NAM: der Name des Private Service Connect-Endpunkts
    • REGION: die Region der Bereitstellung des sicheren Web-Proxys
    • SERVICE_ATTACHMENT_NAME: der Name des zuvor erstellten Dienstanhangs
    • PROJECT: das Projekt der Bereitstellung
    • NETWORK: das VPC-Netzwerk innerhalb dessen der Endpunkt erstellt wird
    • SUBNET: das Subnetz der Bereitstellung
    • ADDRESS: die Adresse des Endpunkts
  4. Weisen Sie die Arbeitslast mithilfe einer Proxyvariablen dem Secure Web Proxy zu.

  5. Richtlinie mit einer Regel erstellen, die Traffic von der Arbeitslast zulässt (identifiziert durch die Quell-IP-Adresse) an ein bestimmtes Ziel (Beispiel: beispiel.de).

  6. Erstellen Sie eine Richtlinie mit einer Regel, die den Traffic von der Arbeitslast (anhand der Quell-IP-Adresse identifiziert) an ein bestimmtes Ziel blockiert (z. B. altostrat.com).

Nächste Schritte