無論您選擇使用明確 Proxy 模式還是 Private Service Connect 服務連結來部署 Secure Web Proxy,都請注意下列其他注意事項。
為 Secure Web Proxy 分配內部 IP 位址
Secure Web Proxy 只會分配區域虛擬 IP 位址。這些 IP 位址僅適用於指派的區域。安全 Web Proxy 執行個體會在虛擬私有雲 (VPC) 網路中的區域中佈建。
請透過下列任一方式,為 Secure Web Proxy 執行個體指派內部 IP 位址:
- 在佈建 Secure Web Proxy 執行個體時,請在「Address」欄位中指定地址。
- 如果未指定位址,安全 Web Proxy 會在佈建時自動從您提供的子網路中分配一個 IP 位址。
- 如果未指定位址和子網路,安全 Web Proxy 會自動從所選虛擬私人雲端網路中的預設網路分配位址。
為 Secure Web Proxy 設定以身分為準的政策強制執行機制
當同一個虛擬私人雲端網路中的虛擬機器 (VM) 執行個體啟動連線時,安全網頁 Proxy 會使用雲端原生身分識別資訊來執行政策。將安全網頁 Proxy 設為跨虛擬私有雲網路的服務附件時,系統會支援下列身分類型來強制執行政策:
- 服務帳戶:用於服務存取權的非人類帳戶必須經過驗證,並取得連線至安全網路 Proxy 的授權。
- 安全性標記:這些鍵/值組合適用於特定虛擬私有雲網路,可附加至機構、資料夾或專案等各種實體。安全 Web Proxy 政策可使用標示為 GCE_FIREWALL 用途的安全標記,並使用永久 ID (例如 tagValues/567890123456) 擷取這些標記。
為 Secure Web Proxy 設定 Cloud NAT
為 Secure Web Proxy 部署作業使用 Cloud NAT 設定。
標準設定
- Secure Web Proxy 基礎架構會使用自動調整大小的 Proxy 集區。
- 每個 Proxy 都會使用從 Cloud NAT 取得的一或多個公開 IPv4 位址。
- 隨著提供 Secure Web Proxy 流量的 Proxy 執行個體數量變化,Cloud NAT 會自動調整並指派額外的公開 IP 位址。
這個動態解決方案可讓您順利因應流量激增,而無需手動調整基礎架構。
自訂 IP 位址分配
雖然自動調整 Cloud NAT 是標準做法,但在某些情況下,您可能需要將特定組合的公開 IP 位址指派給安全 Web Proxy。
如果特定 IP 位址會與防火牆許可政策的供應商共用,請指派自訂範圍,確保持續存取。您可以修改已佈建的 Cloud NAT 閘道,並指定一組公開 IP 位址。