Per centralizzare il deployment di Secure Web Proxy quando sono presenti più reti, puoi aggiungere Secure Web Proxy come allegato del servizio Private Service Connect.
Puoi eseguire il deployment di Secure Web Proxy come collegamento al servizio Private Service Connect come segue:
- Aggiungi il proxy web sicuro come collegamento di servizio Private Service Connect sul lato del producer di una connessione Private Service Connect.
- Crea un endpoint consumer Private Service Connect in ogni rete VPC che deve essere connessa al collegamento di servizio Private Service Connect.
- Indirizza il traffico in uscita del carico di lavoro al proxy web sicuro centralizzato all'interno della regione e applica i criteri a questo traffico.
Esegui il deployment di Secure Web Proxy come collegamento di servizio Private Service Connect utilizzando un modello hub and spoke
Console
Esegui il deployment di Secure Web Proxy come allegato di servizio nella rete Virtual Private Cloud (VPC) centrale (hub).
Per ulteriori informazioni, consulta Pubblicare servizi utilizzando Private Service Connect.
Indirizza il workload di origine a Secure Web Proxy creando un endpoint Private Service Connect nella rete VPC che include il workload.
Per ulteriori informazioni, consulta Creare un endpoint.
Crea un criterio con una regola che consenta il traffico dal carico di lavoro (identificato dall'indirizzo IP di origine) a una determinata destinazione (ad esempio example.com).
Crea un criterio con una regola che blocchi il traffico dal carico di lavoro (identificato dall'indirizzo IP di origine) a una determinata destinazione (ad esempio: altostrat.com).
Per ulteriori informazioni, consulta la sezione Creare un criterio per i proxy web sicuri.
gcloud
Esegui il deployment di Secure Web Proxy come allegato di servizio nella rete VPC (hub) centrale.
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \ --target-service=SWP_INSTANCE \ --connection-preference ACCEPT_AUTOMATIC \ --nat-subnets NAT_SUBNET_NAME \ --region REGION \ --project PROJECT
Sostituisci quanto segue:
SERVICE_ATTACHMENT_NAM: il nome dell'allegato del servizioSWP_INSTANCE: l'URL per accedere all'istanza di Secure Web ProxyNAT_SUBNET_NAME: il nome della sottorete Cloud NATREGION: la regione di implementazione di Secure Web ProxyPROJECT: il progetto del deployment
Crea un endpoint Private Service Connect nella rete VPC che include il carico di lavoro.
gcloud compute forwarding-rules create ENDPOINT_NAME \ --region REGION \ --target-service-attachment=SERVICE_ATTACHMENT_NAME \ --project PROJECT \ --network NETWORK \ --subnet SUBNET \ --address= ADDRESS
Sostituisci quanto segue:
ENDPOINT_NAM: il nome dell'endpoint Private Service ConnectREGION: la regione di implementazione di Secure Web ProxySERVICE_ATTACHMENT_NAME: il nome dell'allegato del servizio creato in precedenzaPROJECT: il progetto del deploymentNETWORK: la rete VPC in cui viene creato l'endpointSUBNET: la subnet del deploymentADDRESS: l'indirizzo dell'endpoint
Indica il carico di lavoro a Secure Web Proxy utilizzando una variabile proxy.
Crea un criterio con una regola che consenta il traffico dal carico di lavoro (identificato dall'indirizzo IP di origine) a una determinata destinazione (ad esempio example.com).
Crea un criterio con una regola che blocchi il traffico dal carico di lavoro (identificato dall'indirizzo IP di origine) a una determinata destinazione (ad esempio: altostrat.com).
Passaggi successivi
- Configurare l'ispezione TLS
- Utilizzare i tag per creare criteri
- Assegna indirizzi IP statici per il traffico in uscita
- Considerazioni aggiuntive per la modalità di collegamento del servizio Private Service Connect