Para centralizar a implantação do Secure Web Proxy quando houver vários é possível adicionar o Secure Web Proxy como um anexo de serviço do Private Service Connect.
É possível implantar o Secure Web Proxy como um Private Service Connect anexo de serviço da seguinte forma:
- Adicionar o Secure Web Proxy como um serviço do Private Service Connect no lado do produtor de um Private Service Connect uma conexão com a Internet.
- Criar um endpoint do consumidor do Private Service Connect em cada que precisa ser conectada à rede VPC Anexo do serviço Private Service Connect.
- Direcionar o tráfego de saída da carga de trabalho para o Secure Web Proxy centralizado na região e aplicar políticas a esse tráfego.
Implantar o Secure Web Proxy como um anexo do serviço Private Service Connect usando um modelo de hub e spoke
Console
Implantar o Secure Web Proxy como um anexo de serviço na central (Hub) de nuvem privada virtual (VPC).
Para mais informações, consulte Publicar serviços usando o Private Service Connect.
Aponte a carga de trabalho de origem para o Secure Web Proxy criando uma endpoint do Private Service Connect Rede VPC que inclui a carga de trabalho.
Para mais informações, consulte Crie um endpoint.
Criar uma política com uma regra que permita o tráfego da carga de trabalho (identificados pelo endereço IP de origem) a um destino específico Por exemplo: example.com.
Criar uma política com uma regra que bloqueie o tráfego da carga de trabalho (identificados pelo endereço IP de origem) a um destino específico Por exemplo: altostrat.com.
Para mais informações, consulte Crie uma política do Secure Web Proxy.
gcloud
Implantar o Secure Web Proxy como um anexo de serviço na central (Hub) rede VPC do produtor de serviços.
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \ --target-service=SWP_INSTANCE \ --connection-preference ACCEPT_AUTOMATIC \ --nat-subnets NAT_SUBNET_NAME \ --region REGION \ --project PROJECT
Substitua:
SERVICE_ATTACHMENT_NAM: o nome do anexo de serviçoSWP_INSTANCE: o URL para acessar o Instância do Secure Web ProxyNAT_SUBNET_NAME: o nome do Cloud NAT sub-redeREGION: a região do Secure Web Proxy. implantaçãoPROJECT: o projeto da implantação.
Crie um endpoint do Private Service Connect na rede VPC que inclui a carga de trabalho.
gcloud compute forwarding-rules create ENDPOINT_NAME \ --region REGION \ --target-service-attachment=SERVICE_ATTACHMENT_NAME \ --project PROJECT \ --network NETWORK \ --subnet SUBNET \ --address= ADDRESS
Substitua:
ENDPOINT_NAM: o nome do endpoint do Private Service ConnectREGION: a região do Secure Web Proxy. implantaçãoSERVICE_ATTACHMENT_NAME: o nome do anexo de serviço criado anteriormentePROJECT: o projeto da implantação.NETWORK: a rede VPC. no qual o endpoint é criadoSUBNET: a sub-rede da implantaçãoADDRESS: o endereço do endpoint.
Aponte a carga de trabalho para o Secure Web Proxy usando uma variável de proxy.
Criar uma política com uma regra que permita o tráfego da carga de trabalho (identificados pelo endereço IP de origem) a um destino específico Por exemplo: example.com.
Criar uma política com uma regra que bloqueie o tráfego da carga de trabalho (identificados pelo endereço IP de origem) a um destino específico Por exemplo: altostrat.com.
A seguir
- Configurar a inspeção de TLS
- Usar tags para criar políticas
- Atribuir endereços IP estáticos para o tráfego de saída
- Outras considerações sobre o modo de anexo do serviço Private Service Connect