複数のネットワークがある場合に Secure Web Proxy のデプロイを一元化するには、Secure Web Proxy を Private Service Connect サービス アタッチメントとして追加します。
次のように、Secure Web Proxy を Private Service Connect サービス アタッチメントとしてデプロイできます。
- Private Service Connect 接続のプロデューサー側に Private Service Connect サービス アタッチメントとして Secure Web Proxy を追加します。
- Private Service Connect サービス アタッチメントに接続する必要がある各 VPC ネットワークに Private Service Connect コンシューマ エンドポイントを作成します。
- ワークロードの下り(外向き)トラフィックをリージョン内の一元化された Secure Web Proxy に接続し、このトラフィックにポリシーを適用します。
ハブ アンド スポーク モデルを使用して、Private Service Connect サービス アタッチメントとして Secure Web Proxy をデプロイする
コンソール
Secure Web Proxy を、中央(ハブ)の Virtual Private Cloud(VPC)ネットワークにサービス アタッチメントとしてデプロイします。
詳細については、Private Service Connect を使用してサービスを公開するをご覧ください。
ワークロードを含む VPC ネットワークに Private Service Connect エンドポイントを作成して、ソース ワークロードが Secure Web Proxy を指すようにします。
詳細については、エンドポイントを作成するをご覧ください。
ワークロード(送信元 IP アドレスで識別)から特定の宛先(たとえば、example.com)へのトラフィックを許可するルールを含むポリシーを作成します。
ワークロード(送信元 IP アドレスで識別)から特定の宛先(altostrat.com など)へのトラフィックをブロックするルールを含むポリシーを作成します。
詳細については、Secure Web Proxy ポリシーを作成するをご覧ください。
gcloud
Secure Web Proxy をサービス アタッチメントとして中央(ハブ)の VPC ネットワークにデプロイします。
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \ --target-service=SWP_INSTANCE \ --connection-preference ACCEPT_AUTOMATIC \ --nat-subnets NAT_SUBNET_NAME \ --region REGION \ --project PROJECT
以下を置き換えます。
SERVICE_ATTACHMENT_NAM
: サービス アタッチメントの名前SWP_INSTANCE
: Secure Web Proxy インスタンスにアクセスするための URLNAT_SUBNET_NAME
: Cloud NAT サブネットの名前REGION
: Secure Web Proxy のデプロイのリージョンPROJECT
: デプロイのプロジェクト
ワークロードを含む VPC ネットワークに Private Service Connect エンドポイントを作成します。
gcloud compute forwarding-rules create ENDPOINT_NAME \ --region REGION \ --target-service-attachment=SERVICE_ATTACHMENT_NAME \ --project PROJECT \ --network NETWORK \ --subnet SUBNET \ --address= ADDRESS
以下を置き換えます。
ENDPOINT_NAM
: Private Service Connect エンドポイントの名前REGION
: Secure Web Proxy のデプロイのリージョンSERVICE_ATTACHMENT_NAME
: 先ほど作成したサービス アタッチメントの名前PROJECT
: デプロイのプロジェクトNETWORK
: エンドポイントが作成される VPC ネットワークSUBNET
: デプロイのサブネットADDRESS
: エンドポイントのアドレス
プロキシ変数を使用して、ワークロードが Secure Web Proxy を指すようにします。
ワークロード(送信元 IP アドレスで識別)から特定の宛先(たとえば、example.com)へのトラフィックを許可するルールを含むポリシーを作成します。
ワークロード(送信元 IP アドレスで識別)から特定の宛先(altostrat.com など)へのトラフィックをブロックするルールを含むポリシーを作成します。
次のステップ
- TLS インスペクションを構成する
- タグを使用してポリシーを作成する
- 下り(外向き)トラフィックに静的 IP アドレスを割り当てる
- Private Service Connect サービス アタッチメント モードに関するその他の考慮事項