跨多个网络环境时,集中管理安全 Web 代理部署 您可以添加安全 Web 代理, 作为 Private Service Connect 服务连接。
您可以将安全 Web 代理部署为 Private Service Connect 服务连接,如下所示:
- 将安全 Web 代理添加为 Private Service Connect 服务 Private Service Connect 的生产方端的连接 连接。
- 在每个位置创建一个 Private Service Connect 使用方端点 需要连接到该 VPC 网络 Private Service Connect 服务连接。
- 将工作负载出站流量指向集中式安全 Web 代理 并对这些流量应用政策。
使用中心辐射式模型将安全 Web 代理部署为 Private Service Connect 服务连接
控制台
在中央设备(中心)中将安全 Web 代理部署为服务连接 虚拟私有云 (VPC) 网络。
如需了解详情,请参阅 使用 Private Service Connect 发布服务。
通过创建 Private Service Connect 端点, 包含工作负载的 VPC 网络。
如需了解详情,请参阅 创建端点。
创建一项政策,并在其中添加允许来自工作负载的流量的规则 (由来源 IP 地址标识)发送到特定目标 (例如:example.com)。
创建一项政策,并在其中添加禁止来自工作负载的流量的规则 (由来源 IP 地址标识)发送到特定目标 (例如:altostrat.com)。
如需了解详情,请参阅 创建安全 Web 代理政策。
gcloud
在中央设备(中心)中将安全 Web 代理部署为服务连接 VPC 网络。
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \ --target-service=SWP_INSTANCE \ --connection-preference ACCEPT_AUTOMATIC \ --nat-subnets NAT_SUBNET_NAME \ --region REGION \ --project PROJECT
替换以下内容:
SERVICE_ATTACHMENT_NAM
: 服务连接SWP_INSTANCE
:用于访问 安全 Web 代理实例NAT_SUBNET_NAME
:Cloud NAT 的名称 子网REGION
:安全 Web 代理所在的区域 部署PROJECT
:部署的项目
创建 Private Service Connect 端点 在包含工作负载的 VPC 网络中。
gcloud compute forwarding-rules create ENDPOINT_NAME \ --region REGION \ --target-service-attachment=SERVICE_ATTACHMENT_NAME \ --project PROJECT \ --network NETWORK \ --subnet SUBNET \ --address= ADDRESS
替换以下内容:
ENDPOINT_NAM
: Private Service Connect 端点REGION
:安全 Web 代理所在的区域 部署SERVICE_ATTACHMENT_NAME
: 之前创建的服务连接PROJECT
:部署的项目NETWORK
:VPC 网络 端点创建区域SUBNET
:部署的子网ADDRESS
:端点的地址
使用代理变量将工作负载指向安全 Web 代理。
创建一项政策,并在其中添加允许来自工作负载的流量的规则 (由来源 IP 地址标识)发送到特定目标 (例如:example.com)。
创建一项政策,并在其中添加禁止来自工作负载的流量的规则 (由来源 IP 地址标识)发送到特定目标 (例如:altostrat.com)。