Pour centraliser le déploiement de votre proxy Web sécurisé en présence de plusieurs réseaux, vous pouvez ajouter le proxy Web sécurisé en tant que rattachement de service Private Service Connect.
Vous pouvez déployer le proxy Web sécurisé en tant que rattachement de service Private Service Connect comme suit:
- Ajoutez le proxy Web sécurisé en tant que service Private Service Connect rattaché du côté du producteur d'une connexion Private Service Connect.
- Créez un point de terminaison client Private Service Connect dans chaque réseau VPC qui doit être connecté au rattachement de service Private Service Connect.
- Pointez le trafic sortant de votre charge de travail vers le proxy Web sécurisé centralisé dans la région et appliquez des règles à ce trafic.
Déployer le proxy Web sécurisé en tant que rattachement de service Private Service Connect à l'aide d'un modèle en hub et en rayon
Console
Déployez le proxy Web sécurisé en tant qu'accessoire de service dans le réseau de cloud privé virtuel (VPC) central (hub).
Pour en savoir plus, consultez la section Publier des services à l'aide de Private Service Connect.
Pointez la charge de travail source vers le proxy Web sécurisé en créant un point de terminaison Private Service Connect dans le réseau VPC qui inclut la charge de travail.
Pour en savoir plus, consultez la section Créer un point de terminaison.
Créez une stratégie avec une règle qui autorise le trafic de la charge de travail (identifiée par l'adresse IP source) vers une destination particulière (par exemple, example.com).
Créez une règle qui bloque le trafic de la charge de travail (identifiée par l'adresse IP source) vers une destination spécifique (par exemple, altostrat.com).
Pour en savoir plus, consultez la section Créer une règle de proxy Web sécurisé.
gcloud
Déployez le proxy Web sécurisé en tant que rattachement de service dans le réseau VPC central (hub).
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \ --target-service=SWP_INSTANCE \ --connection-preference ACCEPT_AUTOMATIC \ --nat-subnets NAT_SUBNET_NAME \ --region REGION \ --project PROJECT
Remplacez les éléments suivants :
SERVICE_ATTACHMENT_NAM: nom du rattachement de service.SWP_INSTANCE: URL permettant d'accéder à l'instance du proxy Web sécuriséNAT_SUBNET_NAME: nom du sous-réseau Cloud NATREGION: région du déploiement du proxy Web sécuriséPROJECT: projet du déploiement
Créez un point de terminaison Private Service Connect dans le réseau VPC qui inclut la charge de travail.
gcloud compute forwarding-rules create ENDPOINT_NAME \ --region REGION \ --target-service-attachment=SERVICE_ATTACHMENT_NAME \ --project PROJECT \ --network NETWORK \ --subnet SUBNET \ --address= ADDRESS
Remplacez les éléments suivants :
ENDPOINT_NAM: nom du point de terminaison Private Service ConnectREGION: région du déploiement du proxy Web sécuriséSERVICE_ATTACHMENT_NAME: nom du rattachement de service créé précédemmentPROJECT: projet du déploiementNETWORK: réseau VPC dans lequel le point de terminaison est crééSUBNET: sous-réseau du déploiementADDRESS: adresse du point de terminaison
Pointez la charge de travail vers le proxy Web sécurisé à l'aide d'une variable de proxy.
Créez une stratégie avec une règle qui autorise le trafic de la charge de travail (identifiée par l'adresse IP source) vers une destination particulière (par exemple, example.com).
Créez une règle qui bloque le trafic de la charge de travail (identifiée par l'adresse IP source) vers une destination spécifique (par exemple, altostrat.com).
Étape suivante
- Configurer l'inspection TLS
- Utiliser des tags pour créer des règles
- Attribuer des adresses IP statiques pour le trafic de sortie
- Considérations supplémentaires concernant le mode de rattachement de service Private Service Connect