Memublikasikan Secure Web Proxy sebagai layanan Private Service Connect

Untuk memusatkan deployment Secure Web Proxy di beberapa jaringan VPC, Anda dapat menyediakan Secure Web Proxy melalui lampiran layanan Private Service Connect.

Men-deploy Secure Web Proxy dengan Private Service Connect memerlukan langkah-langkah berikut:

  1. Buat kebijakan dan aturan Secure Web Proxy.
  2. Buat instance Secure Web Proxy yang menggunakan kebijakan Anda.
  3. Buat lampiran layanan untuk memublikasikan instance Secure Web Proxy sebagai layanan Private Service Connect.
  4. Buat endpoint konsumen Private Service Connect di setiap jaringan VPC yang perlu terhubung ke Secure Web Proxy.
  5. Arahkan traffic keluar workload Anda ke instance Secure Web Proxy terpusat dalam region.
Deployment Secure Web Proxy dalam mode lampiran layanan Private Service Connect.
Memublikasikan Secure Web Proxy sebagai layanan Private Service Connect memungkinkan Anda memusatkan pengelolaan traffic keluar untuk beban kerja di beberapa jaringan VPC. (klik untuk memperbesar).

Sebelum memulai

Sebelum menyelesaikan langkah-langkah di halaman ini, selesaikan langkah-langkah penyiapan awal.

Membuat dan mengonfigurasi instance Secure Web Proxy

Panduan ini menjelaskan cara membuat kebijakan dan aturan Secure Web Proxy yang cocok dengan traffic berdasarkan sesi.

Untuk informasi tentang cara mengonfigurasi pemeriksaan TLS secara opsional, lihat Mengaktifkan pemeriksaan TLS.

Untuk informasi tentang cara mengonfigurasi pencocokan tingkat aplikasi secara opsional, lihat Men-deploy instance Secure Web Proxy.

Membuat kebijakan Secure Web Proxy

Konsol

  1. Di Google Cloud console, buka halaman SWP Policies.

    Buka Kebijakan SWP

  2. Klik Buat kebijakan.

  3. Masukkan nama untuk kebijakan yang ingin Anda buat, seperti myswppolicy.

  4. Masukkan deskripsi kebijakan.

  5. Di daftar Regions, pilih region tempat Anda ingin membuat kebijakan proxy web.

  6. Klik Buat.

Cloud Shell

  1. Buat file policy.yaml.

    description: basic Secure Web Proxy policy
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1

    Ganti kode berikut:

    • PROJECT_ID: Project ID milik Anda
    • REGION: region kebijakan

  2. Buat kebijakan Secure Web Proxy berdasarkan policy.yaml.

    gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

Menambahkan aturan Secure Web Proxy ke kebijakan Anda

Konfigurasikan aturan Secure Web Proxy untuk mengizinkan traffic keluar dari setiap beban kerja.

Bagian ini menunjukkan cara membuat aturan untuk mengizinkan traffic dari beban kerja yang diidentifikasi oleh tag Resource Manager atau akun layanan. Untuk informasi tentang mencocokkan traffic dengan cara lain, lihat referensi bahasa pencocok CEL.

Konsol

  1. Di Google Cloud console, buka halaman SWP Policies.

    Buka Kebijakan SWP

  2. Klik nama kebijakan Anda.

  3. Untuk menambahkan aturan guna mengizinkan workload mengakses internet, lakukan hal berikut:

    1. Klik Tambahkan aturan.
    2. Masukkan prioritas. Aturan dievaluasi dari prioritas tertinggi ke terendah, dengan 0 adalah prioritas tertinggi.
    3. Masukkan nama.
    4. Masukkan deskripsi.
    5. Masukkan status.
    6. Untuk Action, pilih Allow.
    7. Klik Status, lalu pilih Enabled.

    8. Di bagian Session Match, tentukan kriteria untuk mencocokkan sesi.

      • Misalnya, untuk mengizinkan traffic ke google.com dari beban kerja dengan ID nilai tag Resource Manager tagValues/123456, masukkan hal berikut:

        source.matchTag('tagValues/123456') && host() == 'google.com'

      • Untuk mengizinkan traffic ke google.com dari workload yang menggunakan akun layanan account-name@my-project.iam.gserviceaccount.com, masukkan hal berikut:

        source.matchServiceAccount('account-name@my-project.iam.gserviceaccount.com') && host() == 'google.com'

    9. Klik Buat.

Cloud Shell

Untuk setiap aturan yang ingin Anda tambahkan, lakukan hal berikut:

  1. Buat file rule.yaml dan tentukan kriteria untuk mencocokkan sesi.

    • Untuk mengizinkan traffic ke domain tertentu dari workload yang diidentifikasi oleh ID nilai tag Resource Manager, buat file berikut:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME
description: Allow traffic based on tag
enabled: true
priority: PRIORITY
basicProfile: ALLOW
sessionMatcher: source.matchTag('TAG_VALUE_ID') && host() == 'DOMAIN_NAME'

      Ganti kode berikut:

      • PROJECT_ID: Project ID milik Anda
      • REGION: region kebijakan Anda
      • RULE_NAME: nama aturan
      • PRIORITY: prioritas aturan—aturan dievaluasi dari prioritas tertinggi ke terendah, dengan 0 adalah prioritas tertinggi
      • TAG_VALUE_ID: ID nilai tag dari workload untuk mengizinkan traffic
      • DOMAIN_NAME: nama domain yang akan mengizinkan traffic ke

    • Untuk mengizinkan traffic ke domain tertentu dari beban kerja yang menggunakan akun layanan, buat file berikut:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME
description: Allow traffic based on service account
enabled: true
priority: PRIORITY
basicProfile: ALLOW
sessionMatcher: source.matchServiceAccount('SERVICE_ACCOUNT') && host() == 'DOMAIN_NAME'

      Ganti SERVICE_ACCOUNT dengan nama akun layanan.

  2. Untuk memperbarui kebijakan dengan aturan yang Anda tentukan di rule.yaml, gunakan perintah berikut:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
   --source=rule.yaml \
   --location=REGION \
   --gateway-security-policy=policy1

Men-deploy instance Secure Web Proxy

Deploy instance Secure Web Proxy dalam mode pemilihan rute eksplisit di jaringan Virtual Private Cloud (VPC) yang ingin Anda gunakan untuk traffic keluar. Saat membuat instance, kaitkan dengan kebijakan dan aturan yang Anda buat di langkah sebelumnya.

Memublikasikan Secure Web Proxy dengan lampiran layanan Private Service Connect tidak mendukung mode perutean next hop.

Untuk informasi tentang cara mengonfigurasi instance, lihat Menyiapkan proxy web. Anda tidak perlu menyelesaikan langkah-langkah lain di halaman tersebut saat ini.

Men-deploy Secure Web Proxy sebagai layanan Private Service Connect dalam model hub dan spoke

Bagian ini menjelaskan cara men-deploy Secure Web Proxy sebagai layanan Private Service Connect, menggunakan model hub dan spoke untuk memusatkan pengelolaan traffic keluar.

Memublikasikan Secure Web Proxy sebagai layanan Private Service Connect

Untuk memublikasikan Secure Web Proxy sebagai layanan, buat subnet Private Service Connect dan lampiran layanan. Subnet dan lampiran layanan harus berada di region yang sama dengan endpoint Private Service Connect yang mengakses lampiran layanan.

Membuat subnet untuk Private Service Connect

Untuk membuat subnet untuk Private Service Connect, lakukan langkah-langkah berikut.

Konsol

  1. Di Google Cloud konsol, buka halaman jaringan VPC.

    Buka jaringan VPC

  2. Klik nama jaringan VPC untuk menampilkan halaman VPC network details-nya.

  3. Klik Subnets.

  4. Klik Tambahkan subnet. Di panel yang muncul, lakukan hal berikut:

    1. Berikan Nama.
    2. Pilih Region.
    3. Di bagian Purpose, pilih Private Service Connect.
    4. Untuk IP stack type, pilih IPv4 (single-stack) atau IPv4 and IPv6 (dual-stack).
    5. Masukkan rentang IPv4. Contoh, 10.10.10.0/24.
    6. Jika Anda membuat subnet stack ganda, tetapkan IPv6 access type ke Internal.
    7. Klik Tambahkan.

Cloud Shell

Lakukan salah satu hal berikut:

  • Untuk membuat subnet Private Service Connect khusus IPv4, lakukan hal berikut:

    gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME \
    --region=REGION \
    --range=SUBNET_RANGE \
    --purpose=PRIVATE_SERVICE_CONNECT

  • Untuk membuat subnet Private Service Connect stack ganda, lakukan hal berikut:

    gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME \
    --region=REGION \
    --stack-type=IPV4_IPV6 \
    --ipv6-access-type=INTERNAL \
    --range=SUBNET_RANGE \
    --purpose=PRIVATE_SERVICE_CONNECT

Ganti kode berikut:

  • SUBNET_NAME: nama yang akan ditetapkan ke subnet.

  • NETWORK_NAME: nama VPC untuk subnet baru.

  • REGION: region untuk subnet baru. Region ini harus merupakan region yang sama dengan layanan yang Anda publikasikan.

  • SUBNET_RANGE: rentang alamat IPv4 yang akan digunakan untuk subnet—misalnya, 10.10.10.0/24.

Membuat lampiran layanan

Untuk memublikasikan Secure Web Proxy sebagai lampiran layanan di jaringan VPC pusat (hub), lakukan hal berikut.

Bagian ini menjelaskan cara membuat lampiran layanan yang secara otomatis menerima semua koneksi. Untuk mengetahui informasi tentang persetujuan eksplisit atau opsi konfigurasi lainnya, lihat Memublikasikan layanan dengan persetujuan eksplisit.

Konsol

  1. Di konsol Google Cloud , buka halaman Private Service Connect.

    Buka Private Service Connect

  2. Klik tab Published services.

  3. Klik Publish service.

  4. Di bagian Target details, pilih Secure Web Proxy.

  5. Pilih instance Secure Web Proxy yang ingin Anda publikasikan. Kolom jaringan dan region diisi dengan detail untuk instance Secure Web Proxy yang dipilih.

  6. Untuk Service name, masukkan nama lampiran layanan.

  7. Pilih satu atau beberapa subnet Private Service Connect untuk layanan tersebut. Daftar diisi dengan subnet dari jaringan VPC instance Secure Web Proxy yang dipilih.

  8. Di bagian Connection preference, pilih Automatically accept all connections.

  9. Klik Add service.

Cloud Shell

Gunakan perintah gcloud compute service-attachments create.

gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \
    --target-service=SWP_INSTANCE_URI \
    --connection-preference=ACCEPT_AUTOMATIC \
    --nat-subnets=NAT_SUBNET_NAME \
    --region=REGION \
    --project=PROJECT \

Ganti kode berikut:

  • SERVICE_ATTACHMENT_NAME: nama lampiran layanan
  • SWP_INSTANCE_URI: URI instance Secure Web Proxy, dalam bentuk berikut: //networkservices.googleapis.com/projects/PROJECT_ID/locations/REGION/gateways/INSTANCE_NAME
  • NAT_SUBNET_NAME: nama subnet Private Service Connect
  • REGION: region deployment Secure Web Proxy
  • PROJECT: project deployment Secure Web Proxy

Membuat endpoint

Buat endpoint di setiap jaringan VPC dan region yang perlu mengirim traffic keluar melalui instance Secure Web Proxy terpusat. Ulangi langkah-langkah berikut untuk setiap endpoint yang perlu Anda buat.

Konsol

  1. Di konsol Google Cloud , buka halaman Private Service Connect.

    Buka Private Service Connect

  2. Klik tab Connected endpoints.

  3. Klik Connect endpoint.

  4. Untuk Target, pilih Published service.

  5. Untuk Target service, masukkan URI lampiran layanan yang ingin Anda hubungkan.

    URI lampiran layanan menggunakan format ini: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

  6. Untuk Endpoint name, masukkan nama yang akan digunakan untuk endpoint.

  7. Pilih Network untuk endpoint.

  8. Pilih Subnetwork untuk endpoint.

  9. Pilih IP address untuk endpoint. Jika memerlukan alamat IP baru, Anda dapat membuatnya:

    1. Klik menu drop-down IP address dan pilih Create IP address.
    2. Masukkan Name dan Description opsional untuk alamat IP.
    3. Pilih IP version.

    4. Jika Anda membuat alamat IPv4, pilih Assign automatically atau Let me choose.

      Jika memilih Let me choose, masukkan Custom IP address yang ingin Anda gunakan.

    5. Klik Reserve.

  10. Klik Add endpoint.

Cloud Shell

  1. Cadangkan alamat IP internal untuk ditetapkan ke endpoint.

    gcloud compute addresses create ADDRESS_NAME \
    --region=REGION \
    --subnet=SUBNET \
    --ip-version=IP_VERSION

    Ganti yang berikut ini:

    • ADDRESS_NAME: nama yang akan ditetapkan ke alamat IP yang dicadangkan.

    • REGION: region untuk alamat IP endpoint. Ini harus merupakan region yang sama dengan yang berisi lampiran layanan produsen layanan.

    • SUBNET: nama subnet untuk alamat IP endpoint.

    • IP_VERSION: versi IP alamat IP, yang dapat berupa IPV4 atau IPV6. IPV4 adalah defaultnya. Untuk menentukan IPV6, alamat IP harus terhubung ke subnet dengan rentang alamat IPv6 internal.

  2. Buat aturan penerusan untuk menghubungkan endpoint ke lampiran layanan produsen layanan.

    gcloud compute forwarding-rules create ENDPOINT_NAME \
   --region=REGION \
   --network=NETWORK_NAME \
   --address=ADDRESS_NAME \
   --target-service-attachment=SERVICE_ATTACHMENT

    Ganti kode berikut:

    • ENDPOINT_NAME: nama yang akan ditetapkan ke endpoint.

    • REGION: region untuk endpoint. Ini harus merupakan region yang sama dengan yang berisi lampiran layanan produsen layanan.

    • NETWORK_NAME: nama jaringan VPC untuk endpoint.

    • ADDRESS_NAME: nama alamat yang dicadangkan.

    • SERVICE_ATTACHMENT: URI lampiran layanan produsen layanan. Contoh: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Mengarahkan workload ke endpoint Private Service Connect

Konfigurasikan variabel lingkungan proxy sehingga setiap workload menggunakan alamat IP endpoint Private Service Connect untuk traffic keluar.

Misalnya, untuk beban kerja di lingkungan Linux atau macOS, Anda dapat menggunakan command line untuk mengonfigurasi variabel lingkungan HTTP_PROXY dan HTTPS_PROXY secara sementara:

export HTTP_PROXY="http://ENDPOINT_IP_ADDRESS:HTTP_PORT"
export HTTPS_PROXY="https://ENDPOINT_IP_ADDRESS:HTTPS_PORT"

Ganti kode berikut:

  • ENDPOINT_IP_ADDRESS: alamat IP internal endpoint Anda
  • HTTP_PORT: port untuk menerima traffic HTTP
  • HTTPS_PORT: port untuk menerima traffic HTTPS

Untuk informasi tentang cara menetapkan variabel proxy secara permanen di lingkungan beban kerja Anda, lihat dokumentasi sistem operasi Anda.

Apa langkah selanjutnya?