Secure Web Proxy を Private Service Connect サービス アタッチメントとしてデプロイする

複数のネットワークがある場合に Secure Web Proxy のデプロイを一元化するには、Secure Web Proxy を Private Service Connect サービス アタッチメントとして追加します。

次のように、Secure Web Proxy を Private Service Connect サービス アタッチメントとしてデプロイできます。

  1. Private Service Connect 接続のプロデューサー側に Private Service Connect サービス アタッチメントとして Secure Web Proxy を追加します。
  2. Private Service Connect サービス アタッチメントに接続する必要がある各 VPC ネットワークに Private Service Connect コンシューマ エンドポイントを作成します。
  3. ワークロードの下り(外向き)トラフィックをリージョン内の一元化された Secure Web Proxy に接続し、このトラフィックにポリシーを適用します。
Private Service Connect サービス アタッチメント モードでの Secure Web Proxy のデプロイ。
Private Service Connect サービス アタッチメント モードでの Secure Web Proxy のデプロイ(クリックして拡大)

ハブ アンド スポーク モデルを使用して、Private Service Connect サービス アタッチメントとして Secure Web Proxy をデプロイする

コンソール

  1. Secure Web Proxy インスタンスをデプロイします

  2. Secure Web Proxy を、中央(ハブ)の Virtual Private Cloud(VPC)ネットワークにサービス アタッチメントとしてデプロイします。

    詳細については、Private Service Connect を使用してサービスを公開するをご覧ください。

  3. ワークロードを含む VPC ネットワークに Private Service Connect エンドポイントを作成して、ソース ワークロードが Secure Web Proxy を指すようにします。

    詳細については、エンドポイントを作成するをご覧ください。

  4. ワークロード(送信元 IP アドレスで識別)から特定の宛先(たとえば、example.com)へのトラフィックを許可するルールを含むポリシーを作成します。

  5. ワークロード(送信元 IP アドレスで識別)から特定の宛先(altostrat.com など)へのトラフィックをブロックするルールを含むポリシーを作成します。

    詳細については、Secure Web Proxy ポリシーを作成するをご覧ください。

gcloud

  1. Secure Web Proxy インスタンスをデプロイします

  2. Secure Web Proxy をサービス アタッチメントとして中央(ハブ)の VPC ネットワークにデプロイします。

    gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \
      --target-service=SWP_INSTANCE \ 
      --connection-preference ACCEPT_AUTOMATIC \ 
      --nat-subnets NAT_SUBNET_NAME \ 
      --region REGION  \
      --project PROJECT
    

    以下を置き換えます。

    • SERVICE_ATTACHMENT_NAM: サービス アタッチメントの名前
    • SWP_INSTANCE: Secure Web Proxy インスタンスにアクセスするための URL
    • NAT_SUBNET_NAME: Cloud NAT サブネットの名前
    • REGION: Secure Web Proxy のデプロイのリージョン
    • PROJECT: デプロイのプロジェクト
  3. ワークロードを含む VPC ネットワークに Private Service Connect エンドポイントを作成します。

    gcloud compute forwarding-rules create ENDPOINT_NAME \
      --region REGION  \
      --target-service-attachment=SERVICE_ATTACHMENT_NAME  \
      --project PROJECT \
      --network NETWORK \
      --subnet SUBNET  \
      --address= ADDRESS
    

    以下を置き換えます。

    • ENDPOINT_NAM: Private Service Connect エンドポイントの名前
    • REGION: Secure Web Proxy のデプロイのリージョン
    • SERVICE_ATTACHMENT_NAME: 先ほど作成したサービス アタッチメントの名前
    • PROJECT: デプロイのプロジェクト
    • NETWORK: エンドポイントが作成される VPC ネットワーク
    • SUBNET: デプロイのサブネット
    • ADDRESS: エンドポイントのアドレス
  4. プロキシ変数を使用して、ワークロードが Secure Web Proxy を指すようにします。

  5. ワークロード(送信元 IP アドレスで識別)から特定の宛先(たとえば、example.com)へのトラフィックを許可するルールを含むポリシーを作成します。

  6. ワークロード(送信元 IP アドレスで識別)から特定の宛先(altostrat.com など)へのトラフィックをブロックするルールを含むポリシーを作成します。

次のステップ