Per centralizzare il deployment di Secure Web Proxy quando sono presenti più reti, puoi aggiungere Secure Web Proxy come allegato del servizio Private Service Connect.
Puoi eseguire il deployment di Secure Web Proxy come collegamento al servizio Private Service Connect come segue:
- Aggiungi Secure Web Proxy come servizio Private Service Connect collegamento sul lato producer di Private Service Connect connessione.
- Crea un endpoint consumer di Private Service Connect in ogni che deve essere connessa alla rete VPC Collegamento del servizio Private Service Connect.
- Indirizza il traffico in uscita del carico di lavoro al proxy web sicuro centralizzato all'interno della regione e applica i criteri a questo traffico.
Esegui il deployment di Secure Web Proxy come collegamento di servizio Private Service Connect utilizzando un modello hub and spoke
Console
Esegui il deployment di Secure Web Proxy come collegamento al servizio nella centrale (Hub) una rete VPC (Virtual Private Cloud).
Per ulteriori informazioni, vedi Pubblicare servizi utilizzando Private Service Connect.
Indirizza il carico di lavoro di origine a Secure Web Proxy creando un endpoint Private Service Connect nella rete VPC che include il carico di lavoro.
Per ulteriori informazioni, consulta Creare un endpoint.
Crea un criterio con una regola che consenta il traffico dal carico di lavoro (identificato dall'indirizzo IP di origine) verso una determinata destinazione ad esempio example.com.
Crea un criterio con una regola che blocchi il traffico dal carico di lavoro (identificato dall'indirizzo IP di origine) verso una determinata destinazione ad esempio altostrat.com.
Per ulteriori informazioni, vedi Crea un criterio Secure Web Proxy.
gcloud
Esegui il deployment di Secure Web Proxy come allegato di servizio nella rete VPC (hub) centrale.
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \ --target-service=SWP_INSTANCE \ --connection-preference ACCEPT_AUTOMATIC \ --nat-subnets NAT_SUBNET_NAME \ --region REGION \ --project PROJECT
Sostituisci quanto segue:
SERVICE_ATTACHMENT_NAM: il nome dell'allegato del servizioSWP_INSTANCE: l'URL per accedere all'istanza di Secure Web ProxyNAT_SUBNET_NAME: il nome della sottorete Cloud NATREGION: la regione di implementazione di Secure Web ProxyPROJECT: il progetto del deployment
Crea un endpoint Private Service Connect nella rete VPC che include il carico di lavoro.
gcloud compute forwarding-rules create ENDPOINT_NAME \ --region REGION \ --target-service-attachment=SERVICE_ATTACHMENT_NAME \ --project PROJECT \ --network NETWORK \ --subnet SUBNET \ --address= ADDRESS
Sostituisci quanto segue:
ENDPOINT_NAM: il nome del Endpoint Private Service ConnectREGION: la regione del proxy web sicuro deploymentSERVICE_ATTACHMENT_NAME: il nome del collegamento al servizio creato in precedenzaPROJECT: il progetto del deploymentNETWORK: la rete VPC in cui viene creato l'endpointSUBNET: la subnet del deploymentADDRESS: l'indirizzo dell'endpoint
Indica il carico di lavoro a Secure Web Proxy utilizzando una variabile proxy.
Crea un criterio con una regola che consenta il traffico dal carico di lavoro (identificato dall'indirizzo IP di origine) verso una determinata destinazione ad esempio example.com.
Crea un criterio con una regola che blocchi il traffico dal carico di lavoro (identificato dall'indirizzo IP di origine) a una determinata destinazione (ad esempio: altostrat.com).
Passaggi successivi
- Configura l'ispezione TLS
- Utilizzare i tag per creare criteri
- Assegnare indirizzi IP statici per il traffico in uscita
- Considerazioni aggiuntive per la modalità di collegamento del servizio Private Service Connect