Para centralizar la implementación de Secure Web Proxy cuando hay varias redes, puedes agregarlo como un archivo adjunto de servicio de Private Service Connect.
Puedes implementar el proxy web seguro como un archivo adjunto de servicio de Private Service Connect de la siguiente manera:
- Agrega el proxy web seguro como un archivo adjunto de servicio de Private Service Connect en el lado del productor de una conexión de Private Service Connect.
- Crea un extremo de consumidor de Private Service Connect en cada red de VPC que se deba conectar al adjunto de servicio de Private Service Connect.
- Dirige el tráfico de salida de tu carga de trabajo al proxy web seguro centralizado dentro de la región y aplica políticas a este tráfico.
Implementa el proxy web seguro como un adjunto de servicio de Private Service Connect con un modelo de embudo
Console
Implementa el proxy web seguro como un archivo adjunto de servicio en la red de nube privada virtual (VPC) central (conmutador).
Para obtener más información, consulta Publica servicios mediante Private Service Connect.
Para dirigir la carga de trabajo de origen al proxy web seguro, crea un extremo de Private Service Connect en la red de VPC que incluya la carga de trabajo.
Para obtener más información, consulta Crea un extremo.
Crea una política con una regla que permita el tráfico de la carga de trabajo (identificada por la dirección IP de origen) a un destino en particular (por ejemplo, example.com).
Crea una política con una regla que bloquee el tráfico de la carga de trabajo (identificada por la dirección IP de origen) a un destino en particular (por ejemplo, altostrat.com).
Para obtener más información, consulta Crea una política de proxy web seguro.
gcloud
Implementa el proxy web seguro como un archivo adjunto de servicio en la red de VPC central (conmutador).
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \ --target-service=SWP_INSTANCE \ --connection-preference ACCEPT_AUTOMATIC \ --nat-subnets NAT_SUBNET_NAME \ --region REGION \ --project PROJECT
Reemplaza lo siguiente:
SERVICE_ATTACHMENT_NAM: Es el nombre del adjunto de servicio.SWP_INSTANCE: La URL para acceder a la instancia del proxy web seguroNAT_SUBNET_NAME: Es el nombre de la subred de Cloud NAT.REGION: Es la región de la implementación del proxy web seguro.PROJECT: Es el proyecto de la implementación.
Crea un extremo de Private Service Connect en la red de VPC que incluye la carga de trabajo.
gcloud compute forwarding-rules create ENDPOINT_NAME \ --region REGION \ --target-service-attachment=SERVICE_ATTACHMENT_NAME \ --project PROJECT \ --network NETWORK \ --subnet SUBNET \ --address= ADDRESS
Reemplaza lo siguiente:
ENDPOINT_NAM: el nombre del extremo de Private Service ConnectREGION: Es la región de la implementación del proxy web seguro.SERVICE_ATTACHMENT_NAME: Es el nombre del archivo adjunto de servicio que se creó antes.PROJECT: Es el proyecto de la implementación.NETWORK: Es la red de VPC dentro de la cual se crea el extremo.SUBNET: Es la subred de la implementación.ADDRESS: Es la dirección del extremo.
Dirige la carga de trabajo al proxy web seguro con una variable de proxy.
Crea una política con una regla que permita el tráfico de la carga de trabajo (identificada por la dirección IP de origen) a un destino en particular (por ejemplo, example.com).
Crea una política con una regla que bloquee el tráfico de la carga de trabajo (identificada por la dirección IP de origen) a un destino en particular (por ejemplo, altostrat.com).
Próximos pasos
- Configura la inspección de TLS
- Cómo usar etiquetas para crear políticas
- Asigna direcciones IP estáticas para el tráfico de salida
- Consideraciones adicionales para el modo de adjunto de servicio de Private Service Connect