Para centralizar a implantação do proxy seguro da Web quando houver várias redes, adicione o proxy seguro da Web como um anexo de serviço do Private Service Connect.
É possível implantar o Secure Web Proxy como um anexo de serviço do Private Service Connect da seguinte maneira:
- Adicione o proxy da Web seguro como um anexo de serviço do Private Service Connect no lado do produtor de uma conexão do Private Service Connect.
- Crie um endpoint de consumidor do Private Service Connect em cada rede VPC que precisa ser conectada ao anexo de serviço do Private Service Connect.
- Aponte o tráfego de saída da carga de trabalho para o proxy seguro da Web centralizado na região e aplique políticas a esse tráfego.
Implantar o proxy seguro da Web como um anexo de serviço do Private Service Connect usando um modelo de hub e spoke
Console
Implante o proxy seguro da Web como um anexo de serviço na rede de nuvem privada virtual (VPC) central (hub).
Para mais informações, consulte Publicar serviços usando o Private Service Connect.
Aponte a carga de trabalho de origem para o proxy seguro da Web criando um endpoint do Private Service Connect na rede VPC que inclui a carga de trabalho.
Para mais informações, consulte Criar um endpoint.
Crie uma política com uma regra que permita o tráfego da carga de trabalho (identificada pelo endereço IP de origem) para um destino específico (por exemplo, example.com).
Crie uma política com uma regra que bloqueie o tráfego da carga de trabalho (identificada pelo endereço IP de origem) para um destino específico (por exemplo, altostrat.com).
Para mais informações, consulte Criar uma política de proxy da Web segura.
gcloud
Implante o proxy seguro da Web como um anexo de serviço na rede VPC central (hub).
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \ --target-service=SWP_INSTANCE \ --connection-preference ACCEPT_AUTOMATIC \ --nat-subnets NAT_SUBNET_NAME \ --region REGION \ --project PROJECT
Substitua:
SERVICE_ATTACHMENT_NAM
: o nome do anexo de serviçoSWP_INSTANCE
: o URL para acessar a instância do Proxy seguro da WebNAT_SUBNET_NAME
: o nome da sub-rede do Cloud NATREGION
: a região da implantação do Proxy seguro da WebPROJECT
: o projeto da implantação
Crie um endpoint do Private Service Connect na rede VPC que inclui a carga de trabalho.
gcloud compute forwarding-rules create ENDPOINT_NAME \ --region REGION \ --target-service-attachment=SERVICE_ATTACHMENT_NAME \ --project PROJECT \ --network NETWORK \ --subnet SUBNET \ --address= ADDRESS
Substitua:
ENDPOINT_NAM
: o nome do endpoint do Private Service ConnectREGION
: a região da implantação do Proxy seguro da WebSERVICE_ATTACHMENT_NAME
: o nome do anexo de serviço criado anteriormente.PROJECT
: o projeto da implantaçãoNETWORK
: a rede VPC em que o endpoint é criadoSUBNET
: a sub-rede da implantaçãoADDRESS
: o endereço do endpoint
Aponte a carga de trabalho para o Proxy seguro da Web usando uma variável de proxy.
Crie uma política com uma regra que permita o tráfego da carga de trabalho (identificada pelo endereço IP de origem) para um destino específico (por exemplo, example.com).
Crie uma política com uma regra que bloqueie o tráfego da carga de trabalho (identificada pelo endereço IP de origem) para um destino específico (por exemplo, altostrat.com).
A seguir
- Configurar a inspeção de TLS
- Usar tags para criar políticas
- Atribuir endereços IP estáticos para o tráfego de saída
- Considerações adicionais sobre o modo de anexo de serviço do Private Service Connect