Para centralizar la implementación del proxy web seguro cuando hay varias redes, puedes agregar el proxy web seguro como un archivo adjunto de servicio de Private Service Connect.
Puedes implementar el Proxy web seguro como Private Service Connect adjunto de servicio de la siguiente manera:
- Agregar el Proxy web seguro como servicio de Private Service Connect adjunto del lado del productor de Private Service Connect conexión.
- Crea un extremo de consumidor de Private Service Connect en cada red de VPC que se debe conectar al Adjunto de servicio de Private Service Connect.
- Dirige el tráfico de salida de tu carga de trabajo al proxy web seguro centralizado dentro de la región y aplica políticas a este tráfico.
Implementa el proxy web seguro como un adjunto de servicio de Private Service Connect con un modelo de embudo
Console
Implementa el Proxy web seguro como un adjunto de servicio en el centro (hub) red de nube privada virtual (VPC).
Para obtener más información, consulta Publica servicios con Private Service Connect.
Para dirigir la carga de trabajo de origen al proxy web seguro, crea un extremo de Private Service Connect en la red de VPC que incluya la carga de trabajo.
Para obtener más información, consulta Crea un extremo.
Crea una política con una regla que permita el tráfico de la carga de trabajo (identificada por la dirección IP de origen) a un destino específico (Por ejemplo: example.com).
Crea una política con una regla que bloquee el tráfico de la carga de trabajo (identificada por la dirección IP de origen) a un destino específico (Por ejemplo: altostrat.com).
Para obtener más información, consulta Crea una política del Proxy web seguro.
gcloud
Implementa el proxy web seguro como un archivo adjunto de servicio en la red de VPC central (conmutador).
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \ --target-service=SWP_INSTANCE \ --connection-preference ACCEPT_AUTOMATIC \ --nat-subnets NAT_SUBNET_NAME \ --region REGION \ --project PROJECT
Reemplaza lo siguiente:
SERVICE_ATTACHMENT_NAM
: Es el nombre de la adjunto de servicioSWP_INSTANCE
: Es la URL para acceder a la Instancia de Proxy web seguroNAT_SUBNET_NAME
: Es el nombre de la subred de Cloud NAT.REGION
: Es la región del Proxy web seguro. implementaciónPROJECT
: Es el proyecto de la implementación.
Crea un extremo de Private Service Connect en la red de VPC que incluye la carga de trabajo.
gcloud compute forwarding-rules create ENDPOINT_NAME \ --region REGION \ --target-service-attachment=SERVICE_ATTACHMENT_NAME \ --project PROJECT \ --network NETWORK \ --subnet SUBNET \ --address= ADDRESS
Reemplaza lo siguiente:
ENDPOINT_NAM
: Es el nombre de la Extremo de Private Service ConnectREGION
: Es la región de la implementación del proxy web seguro.SERVICE_ATTACHMENT_NAME
: Es el nombre del archivo adjunto de servicio que se creó antes.PROJECT
: Es el proyecto de la implementación.NETWORK
: Es la red de VPC dentro de la cual se crea el extremo.SUBNET
: Es la subred de la implementación.ADDRESS
: Es la dirección del extremo.
Dirige la carga de trabajo al proxy web seguro con una variable de proxy.
Crea una política con una regla que permita el tráfico de la carga de trabajo (identificada por la dirección IP de origen) a un destino en particular (por ejemplo, example.com).
Crea una política con una regla que bloquee el tráfico de la carga de trabajo (identificada por la dirección IP de origen) a un destino específico (Por ejemplo: altostrat.com).
Próximos pasos
- Configurar la inspección de TLS
- Cómo usar etiquetas para crear políticas
- Asigna direcciones IP estáticas para el tráfico de salida
- Consideraciones adicionales para el modo de adjunto de servicio de Private Service Connect