如需在存在多个网络时集中部署安全 Web 代理,您可以将安全 Web 代理添加为 Private Service Connect 服务连接。
您可以将安全 Web 代理部署为 Private Service Connect 服务连接,如下所示:
- 在 Private Service Connect 连接的生产方端,将安全 Web 代理添加为 Private Service Connect 服务连接。
- 在需要连接到 Private Service Connect 服务连接的每个 VPC 网络中创建一个 Private Service Connect 使用方端点。
- 将工作负载出站流量指向该区域内的集中式安全 Web 代理,并对此流量应用政策。
使用中心辐射式模型将安全 Web 代理部署为 Private Service Connect 服务连接
控制台
在中央(中心)Virtual Private Cloud (VPC) 网络中,将安全 Web 代理部署为服务连接。
如需了解详情,请参阅使用 Private Service Connect 发布服务。
通过在包含工作负载的 VPC 网络中创建一个 Private Service Connect 端点,将源工作负载指向安全 Web 代理。
如需了解详情,请参阅创建端点。
创建一项政策,并使用一条允许流量从工作负载(由来源 IP 地址标识)流向特定目的地(例如:example.com)的规则。
创建一项政策,并使用规则阻止从工作负载(由来源 IP 地址标识)到特定目标(例如:altostrat.com)的流量。
如需了解详情,请参阅创建安全 Web 代理政策。
gcloud
在中央(中心)VPC 网络中,将安全 Web 代理部署为服务连接。
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \ --target-service=SWP_INSTANCE \ --connection-preference ACCEPT_AUTOMATIC \ --nat-subnets NAT_SUBNET_NAME \ --region REGION \ --project PROJECT
请替换以下内容:
SERVICE_ATTACHMENT_NAM:服务连接的名称SWP_INSTANCE:用于访问安全 Web 代理实例的网址NAT_SUBNET_NAME:Cloud NAT 子网的名称REGION:安全 Web 代理部署所在的区域PROJECT:部署的项目
在包含工作负载的 VPC 网络中创建 Private Service Connect 端点。
gcloud compute forwarding-rules create ENDPOINT_NAME \ --region REGION \ --target-service-attachment=SERVICE_ATTACHMENT_NAME \ --project PROJECT \ --network NETWORK \ --subnet SUBNET \ --address= ADDRESS
请替换以下内容:
ENDPOINT_NAM:Private Service Connect 端点的名称REGION:安全 Web 代理部署所在的区域SERVICE_ATTACHMENT_NAME:之前创建的服务连接的名称PROJECT:部署的项目NETWORK:在其中创建端点的 VPC 网络SUBNET:部署的子网ADDRESS:端点的地址
使用代理变量将工作负载指向安全 Web 代理。
创建一项政策,并使用一条允许流量从工作负载(由来源 IP 地址标识)流向特定目的地(例如:example.com)的规则。
创建一项政策,并使用规则阻止从工作负载(由来源 IP 地址标识)到特定目标(例如:altostrat.com)的流量。