Wenn Sie Ihre Secure Web Proxy-Bereitstellung zentralisieren möchten, wenn mehrere Netzwerke vorhanden sind, können Sie Secure Web Proxy als Private Service Connect-Dienstanhang hinzufügen.
So stellen Sie Secure Web Proxy als Private Service Connect-Dienstanhang bereit:
- Fügen Sie Secure Web Proxy auf der Producer-Seite einer Private Service Connect-Verbindung als Private Service Connect-Dienstanhang hinzu.
- Erstellen Sie in jedem VPC-Netzwerk, das mit dem Anhang des Private Service Connect-Dienstes verbunden werden muss, einen Private Service Connect-Nutzerendpunkt.
- Leiten Sie den ausgehenden Arbeitslasttraffic auf den zentralen Secure Web Proxy in der Region weiter und wenden Sie Richtlinien auf diesen Traffic an.
Secure Web Proxy mithilfe eines Hub-and-Spoke-Modells als Private Service Connect-Dienstanhang bereitstellen
Console
Stellen Sie Secure Web Proxy als Dienstanhang im zentralen VPC-Netzwerk (Hub) bereit.
Weitere Informationen finden Sie unter Dienste mit Private Service Connect veröffentlichen.
Verweisen Sie die Quellarbeitslast auf den Secure Web Proxy. Erstellen Sie dazu im VPC-Netzwerk, das die Arbeitslast enthält, einen Private Service Connect-Endpunkt.
Weitere Informationen finden Sie unter Endpunkt erstellen.
Erstellen Sie eine Richtlinie mit einer Regel, die Traffic von der Arbeitslast (identifiziert durch die Quell-IP-Adresse) zu einem bestimmten Ziel (z. B. beispiel.de) zulässt.
Erstellen Sie eine Richtlinie mit einer Regel, die den Traffic von der Arbeitslast (identifiziert durch die Quell-IP-Adresse) zu einem bestimmten Ziel (z. B. altostrat.com) blockiert.
Weitere Informationen finden Sie unter Secure Web Proxy-Richtlinie erstellen.
gcloud
Stellen Sie Secure Web Proxy als Dienstanhang im zentralen VPC-Netzwerk (Hub) bereit.
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \ --target-service=SWP_INSTANCE \ --connection-preference ACCEPT_AUTOMATIC \ --nat-subnets NAT_SUBNET_NAME \ --region REGION \ --project PROJECT
Ersetzen Sie Folgendes:
SERVICE_ATTACHMENT_NAM
: der Name des DienstanhangsSWP_INSTANCE
: die URL für den Zugriff auf die Secure Web Proxy-InstanzNAT_SUBNET_NAME
: der Name des Cloud NAT-SubnetzesREGION
: Region der Secure Web Proxy-BereitstellungPROJECT
: das Projekt der Bereitstellung
Erstellen Sie einen Private Service Connect-Endpunkt im VPC-Netzwerk, das die Arbeitslast enthält.
gcloud compute forwarding-rules create ENDPOINT_NAME \ --region REGION \ --target-service-attachment=SERVICE_ATTACHMENT_NAME \ --project PROJECT \ --network NETWORK \ --subnet SUBNET \ --address= ADDRESS
Ersetzen Sie Folgendes:
ENDPOINT_NAM
: der Name des Private Service Connect-EndpunktsREGION
: Region der Secure Web Proxy-BereitstellungSERVICE_ATTACHMENT_NAME
: der Name des zuvor erstellten DienstanhangsPROJECT
: das Projekt der BereitstellungNETWORK
: das VPC-Netzwerk, in dem der Endpunkt erstellt wird.SUBNET
: das Subnetz der BereitstellungADDRESS
: die Adresse des Endpunkts
Die Arbeitslast mithilfe einer Proxyvariablen auf den Secure Web Proxy verweisen.
Erstellen Sie eine Richtlinie mit einer Regel, die Traffic von der Arbeitslast (identifiziert durch die Quell-IP-Adresse) zu einem bestimmten Ziel (z. B. beispiel.de) zulässt.
Erstellen Sie eine Richtlinie mit einer Regel, die den Traffic von der Arbeitslast (identifiziert durch die Quell-IP-Adresse) zu einem bestimmten Ziel (z. B. altostrat.com) blockiert.
Nächste Schritte
- TLS-Prüfung konfigurieren
- Richtlinien mithilfe von Tags erstellen
- Statische IP-Adressen für ausgehenden Traffic zuweisen
- Weitere Überlegungen zum Anhangsmodus des Private Service Connect-Dienstes