Pour centraliser le déploiement de votre proxy Web sécurisé lorsqu'il existe plusieurs vous pouvez ajouter un proxy Web sécurisé en tant que rattachement de service Private Service Connect.
Vous pouvez déployer le proxy Web sécurisé en tant que Private Service Connect comme suit:
- Ajoutez le proxy Web sécurisé en tant que service Private Service Connect rattaché du côté du producteur d'une connexion Private Service Connect.
- Créez un point de terminaison client Private Service Connect dans chaque réseau VPC qui doit être connecté au rattachement de service Private Service Connect.
- Faire pointer le trafic de sortie de votre charge de travail vers le proxy Web sécurisé centralisé dans la région et appliquer des règles à ce trafic.
Déployer le proxy Web sécurisé en tant que rattachement de service Private Service Connect à l'aide d'un modèle en étoile
Console
Déployez le proxy Web sécurisé en tant qu'attachement de service dans le réseau de cloud privé virtuel (VPC) central (hub).
Pour en savoir plus, consultez la section Publier des services à l'aide de Private Service Connect.
Faire pointer la charge de travail source vers le proxy Web sécurisé en créant un le point de terminaison Private Service Connect réseau VPC incluant la charge de travail.
Pour en savoir plus, consultez la section Créer un point de terminaison.
Créer une stratégie avec une règle qui autorise le trafic provenant de la charge de travail (identifiées par l'adresse IP source) vers une destination spécifique (Exemple: example.com).
Créer une stratégie avec une règle qui bloque le trafic provenant de la charge de travail (identifiées par l'adresse IP source) vers une destination spécifique (par exemple, altostrat.com).
Pour en savoir plus, consultez Créez une règle de proxy Web sécurisé.
gcloud
Déployez le proxy Web sécurisé en tant que rattachement de service dans le réseau VPC central (hub).
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \ --target-service=SWP_INSTANCE \ --connection-preference ACCEPT_AUTOMATIC \ --nat-subnets NAT_SUBNET_NAME \ --region REGION \ --project PROJECT
Remplacez les éléments suivants :
SERVICE_ATTACHMENT_NAM
: nom du rattachement de service.SWP_INSTANCE
: URL permettant d'accéder à Instance de proxy Web sécuriséNAT_SUBNET_NAME
: nom du sous-réseau Cloud NATREGION
: région du proxy Web sécurisé déploiementPROJECT
: projet du déploiement
Créer un point de terminaison Private Service Connect dans le réseau VPC incluant la charge de travail.
gcloud compute forwarding-rules create ENDPOINT_NAME \ --region REGION \ --target-service-attachment=SERVICE_ATTACHMENT_NAME \ --project PROJECT \ --network NETWORK \ --subnet SUBNET \ --address= ADDRESS
Remplacez les éléments suivants :
ENDPOINT_NAM
: nom du point de terminaison Private Service ConnectREGION
: région du proxy Web sécurisé déploiementSERVICE_ATTACHMENT_NAME
: nom du rattachement de service créé précédemmentPROJECT
: projet du déploiementNETWORK
: réseau VPC dans lequel le point de terminaison est crééSUBNET
: sous-réseau du déploiementADDRESS
: adresse du point de terminaison
Faire pointer la charge de travail vers le proxy Web sécurisé à l'aide d'une variable de proxy.
Créer une stratégie avec une règle qui autorise le trafic provenant de la charge de travail (identifiées par l'adresse IP source) vers une destination spécifique (Exemple: example.com).
Créer une stratégie avec une règle qui bloque le trafic provenant de la charge de travail (identifiées par l'adresse IP source) vers une destination spécifique (par exemple, altostrat.com).
Étape suivante
- Configurer l'inspection TLS
- Créer des règles à l'aide de tags
- Attribuer des adresses IP statiques pour le trafic de sortie
- Remarques supplémentaires sur le mode de rattachement de service Private Service Connect