Implantar o Proxy seguro da Web como um anexo de serviço do Private Service Connect

Para centralizar a implantação do proxy seguro da Web quando houver várias redes, adicione o proxy seguro da Web como um anexo de serviço do Private Service Connect.

É possível implantar o Secure Web Proxy como um anexo de serviço do Private Service Connect da seguinte maneira:

  1. Adicione o proxy da Web seguro como um anexo de serviço do Private Service Connect no lado do produtor de uma conexão do Private Service Connect.
  2. Crie um endpoint de consumidor do Private Service Connect em cada rede VPC que precisa ser conectada ao anexo de serviço do Private Service Connect.
  3. Aponte o tráfego de saída da carga de trabalho para o proxy seguro da Web centralizado na região e aplique políticas a esse tráfego.
Implantação do Proxy seguro da Web no modo de anexo de serviço do Private Service Connect.
Implantação do Proxy seguro da Web no modo de vinculação de serviço do Private Service Connect (clique para ampliar).

Implantar o proxy seguro da Web como um anexo de serviço do Private Service Connect usando um modelo de hub e spoke

Console

  1. Implante uma instância do Secure Web Proxy.

  2. Implante o proxy seguro da Web como um anexo de serviço na rede de nuvem privada virtual (VPC) central (hub).

    Para mais informações, consulte Publicar serviços usando o Private Service Connect.

  3. Aponte a carga de trabalho de origem para o proxy seguro da Web criando um endpoint do Private Service Connect na rede VPC que inclui a carga de trabalho.

    Para mais informações, consulte Criar um endpoint.

  4. Crie uma política com uma regra que permita o tráfego da carga de trabalho (identificada pelo endereço IP de origem) para um destino específico (por exemplo, example.com).

  5. Crie uma política com uma regra que bloqueie o tráfego da carga de trabalho (identificada pelo endereço IP de origem) para um destino específico (por exemplo, altostrat.com).

    Para mais informações, consulte Criar uma política de proxy da Web segura.

gcloud

  1. Implante uma instância do Secure Web Proxy.

  2. Implante o proxy seguro da Web como um anexo de serviço na rede VPC central (hub).

    gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \
      --target-service=SWP_INSTANCE \ 
      --connection-preference ACCEPT_AUTOMATIC \ 
      --nat-subnets NAT_SUBNET_NAME \ 
      --region REGION  \
      --project PROJECT
    

    Substitua:

    • SERVICE_ATTACHMENT_NAM: o nome do anexo de serviço
    • SWP_INSTANCE: o URL para acessar a instância do Proxy seguro da Web
    • NAT_SUBNET_NAME: o nome da sub-rede do Cloud NAT
    • REGION: a região da implantação do Proxy seguro da Web
    • PROJECT: o projeto da implantação
  3. Crie um endpoint do Private Service Connect na rede VPC que inclui a carga de trabalho.

    gcloud compute forwarding-rules create ENDPOINT_NAME \
      --region REGION  \
      --target-service-attachment=SERVICE_ATTACHMENT_NAME  \
      --project PROJECT \
      --network NETWORK \
      --subnet SUBNET  \
      --address= ADDRESS
    

    Substitua:

    • ENDPOINT_NAM: o nome do endpoint do Private Service Connect
    • REGION: a região da implantação do Proxy seguro da Web
    • SERVICE_ATTACHMENT_NAME: o nome do anexo de serviço criado anteriormente.
    • PROJECT: o projeto da implantação
    • NETWORK: a rede VPC em que o endpoint é criado
    • SUBNET: a sub-rede da implantação
    • ADDRESS: o endereço do endpoint
  4. Aponte a carga de trabalho para o Proxy seguro da Web usando uma variável de proxy.

  5. Crie uma política com uma regra que permita o tráfego da carga de trabalho (identificada pelo endereço IP de origem) para um destino específico (por exemplo, example.com).

  6. Crie uma política com uma regra que bloqueie o tráfego da carga de trabalho (identificada pelo endereço IP de origem) para um destino específico (por exemplo, altostrat.com).

A seguir