보안 웹 프록시를 Private Service Connect 서비스 연결로 배포

여러 네트워크가 있는 경우 보안 웹 프록시 배포를 중앙에서 관리하려면 보안 웹 프록시를 Private Service Connect 서비스 연결로 추가할 수 있습니다.

다음과 같이 보안 웹 프록시를 Private Service Connect 서비스 연결로 배포할 수 있습니다.

  1. Private Service Connect 연결의 제작자 측에서 보안 웹 프록시를 Private Service Connect 서비스 연결로 추가합니다.
  2. Private Service Connect 서비스 연결에 연결해야 하는 각 VPC 네트워크에 Private Service Connect 소비자 엔드포인트를 만듭니다.
  3. 워크로드 이그레스 트래픽이 리전 내의 중앙 집중식 보안 웹 프록시를 가리키도록 하고 이 트래픽에 정책을 적용합니다.
Private Service Connect 서비스 연결 모드에서 보안 웹 프록시 배포
Private Service Connect 서비스 연결에서 보안 웹 프록시 배포 모드(확대하려면 클릭)

허브 및 스포크 모델을 사용하여 보안 웹 프록시를 Private Service Connect 서비스 연결로 배포합니다.

콘솔

  1. 보안 웹 프록시 인스턴스 배포

  2. 중앙(허브) 가상 프라이빗 클라우드(VPC) 네트워크에 보안 웹 프록시를 서비스 연결로 배포합니다.

    자세한 내용은 Private Service Connect를 사용하여 서비스 게시를 참조하세요.

  3. 워크로드가 포함된 VPC 네트워크에 Private Service Connect 엔드포인트를 만들어 소스 워크로드가 보안 웹 프록시를 가리키도록 합니다.

    자세한 내용은 엔드포인트 만들기를 참조하세요.

  4. 워크로드(소스 IP 주소로 식별됨)에서 특정 대상(예: example.com)으로 트래픽을 허용하는 규칙을 사용하여 정책을 만듭니다.

  5. 워크로드(소스 IP 주소로 식별됨)에서 특정 대상(예: altostrat.com)으로 트래픽을 차단하는 규칙을 사용하여 정책을 만듭니다.

    자세한 내용은 보안 웹 프록시 정책 만들기를 참조하세요.

gcloud

  1. 보안 웹 프록시 인스턴스 배포

  2. 중앙(허브) VPC 네트워크에 서비스 연결로 보안 웹 프록시를 배포합니다.

    gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \
      --target-service=SWP_INSTANCE \ 
      --connection-preference ACCEPT_AUTOMATIC \ 
      --nat-subnets NAT_SUBNET_NAME \ 
      --region REGION  \
      --project PROJECT
    

    다음을 바꿉니다.

    • SERVICE_ATTACHMENT_NAM: 서비스 연결의 이름
    • SWP_INSTANCE: 보안 웹 프록시 인스턴스에 액세스하는 URL
    • NAT_SUBNET_NAME: Cloud NAT 서브넷의 이름
    • REGION: 보안 웹 프록시 배포의 리전
    • PROJECT: 배포 프로젝트
  3. 워크로드를 포함하는 VPC 네트워크에서 Private Service Connect 엔드포인트를 만듭니다.

    gcloud compute forwarding-rules create ENDPOINT_NAME \
      --region REGION  \
      --target-service-attachment=SERVICE_ATTACHMENT_NAME  \
      --project PROJECT \
      --network NETWORK \
      --subnet SUBNET  \
      --address= ADDRESS
    

    다음을 바꿉니다.

    • ENDPOINT_NAM: Private Service Connect 엔드포인트의 이름
    • REGION: 보안 웹 프록시 배포의 리전
    • SERVICE_ATTACHMENT_NAME: 이전에 만든 서비스 연결의 이름
    • PROJECT: 배포 프로젝트
    • NETWORK: 엔드포인트가 만들어지는 VPC 네트워크
    • SUBNET: 배포 서브넷
    • ADDRESS: 엔드포인트 주소
  4. 프록시 변수를 사용하여 워크로드가 보안 웹 프록시를 가리키도록 합니다.

  5. 워크로드(소스 IP 주소로 식별됨)에서 특정 대상(예: example.com)으로 트래픽을 허용하는 규칙을 사용하여 정책을 만듭니다.

  6. 워크로드(소스 IP 주소로 식별됨)에서 특정 대상(예: altostrat.com)으로 트래픽을 차단하는 규칙을 사용하여 정책을 만듭니다.

다음 단계