Secure Web Proxy als nächsten Hop bereitstellen

Auf dieser Seite erhalten Sie einen Überblick darüber, wie Sie eine Secure Web Proxy-Richtlinie erstellen. Anschließend wird beschrieben, wie Sie das Next-Hop-Routing für Ihre Secure Web Proxy-Instanz konfigurieren. Außerdem wird auf dieser Seite beschrieben, wie Sie entweder statisches Routing oder richtlinienbasiertes Routing für Ihren nächsten Hop konfigurieren.

Standardmäßig haben SecureWebProxy-Instanzen einen RoutingMode-Wert von EXPLICIT_ROUTING_MODE. Das bedeutet, dass Sie Ihre Arbeitslasten so konfigurieren müssen, dass HTTP(S)-Traffic explizit an den sicheren Webproxy gesendet wird. Anstatt einzelne Clients so zu konfigurieren, dass sie auf Ihre Secure Web Proxy-Instanz verweisen, können Sie die RoutingMode Ihrer Secure Web Proxy-Instanz auf NEXT_HOP_ROUTING_MODE festlegen. So können Sie Routen definieren, die den Traffic an Ihre Secure Web Proxy-Instanz weiterleiten.

Next-Hop-Routing für Secure Web Proxy konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie eine Secure Web Proxy-Richtlinie erstellen und wie Sie Ihre Secure Web Proxy-Instanz als nächsten Hop bereitstellen.

Secure Web Proxy-Richtlinie erstellen

  1. Führen Sie alle erforderlichen Schritte aus.
  2. Erstellen Sie eine Richtlinie für sichere Web-Proxys.
  3. Erstellen Sie Secure Web Proxy-Regeln.

Secure Web Proxy-Instanz als nächsten Hop bereitstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Web-Proxys auf.

    Zu Web-Proxys

  2. Klicken Sie auf Sicheren Web-Proxy erstellen.

  3. Geben Sie einen Namen für den Webproxy ein, den Sie erstellen möchten, z. B. myswp.

  4. Geben Sie eine Beschreibung des Web-Proxys ein, z. B. My new swp.

  5. Wählen Sie für Routing-Modus die Option Next Hop aus.

  6. Wählen Sie in der Liste Regionen die Region aus, in der Sie den Webproxy erstellen möchten.

  7. Wählen Sie in der Liste Netzwerk das Netzwerk aus, in dem Sie den Webproxy erstellen möchten.

  8. Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, in dem Sie den Webproxy erstellen möchten.

  9. Geben Sie die IP-Adresse des Web-Proxys ein.

  10. Wählen Sie in der Liste Zertifikat das Zertifikat aus, mit dem Sie den Webproxy erstellen möchten.

  11. Wählen Sie in der Liste Richtlinie die Richtlinie aus, die Sie erstellt haben, um sie dem Webproxy zuzuordnen.

  12. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie die Datei gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

  2. Erstellen Sie eine Secure Web Proxy-Instanz.

    gcloud network-services gateways import swp1 \
  --source=gateway.yaml \
  --location=REGION

    Das Bereitstellen einer Secure Web Proxy-Instanz kann einige Minuten dauern.

Routen für den nächsten Hop erstellen

Nachdem Sie eine Secure Web Proxy-Instanz erstellt haben, können Sie entweder statisches Routing oder richtlinienbasiertes Routing für den nächsten Hop konfigurieren:

  • Statische Routen leiten den Traffic innerhalb Ihres Netzwerks an Ihre Secure Web Proxy-Instanz in derselben Region weiter. Wenn Sie eine statische Route mit Ihrem sicheren Webproxy als nächsten Hop einrichten möchten, müssen Sie Netzwerk-Tags konfigurieren.
  • Mit Richtlinienbasierten Routen können Sie Traffic aus einem Quell-IP-Adressbereich an Ihre Secure Web Proxy-Instanz weiterleiten. Wenn Sie eine richtlinienbasierte Route zum ersten Mal konfigurieren, müssen Sie auch eine andere richtlinienbasierte Route als Standardroute konfigurieren.

In den folgenden beiden Abschnitten wird beschrieben, wie Sie statische Routen und richtlinienbasierte Routen erstellen.

Statische Routen erstellen

Wenn Sie Traffic an Ihre Secure Web Proxy-Instanz weiterleiten möchten, richten Sie mit dem Befehl gcloud compute routes create eine statische Route ein. Sie müssen die statische Route mit einem Netzwerk-Tag verknüpfen und dasselbe Netzwerk-Tag für alle Quellressourcen verwenden, damit der Traffic an Ihre Secure Web Proxy-Instanz weitergeleitet wird. Bei statischen Routen können Sie keinen Quell-IP-Adressbereich definieren.

Weitere Informationen zur Funktionsweise statischer Routen in Google Cloudfinden Sie unter Statische Routen.

gcloud

Verwenden Sie den folgenden Befehl, um eine statische Route zu erstellen.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

Ersetzen Sie Folgendes:

  • STATIC_ROUTE_NAME: Name der statischen Route
  • NETWORK_NAME: Name Ihres Netzwerks
  • SWP_IP: IP-Adresse Ihrer SecureWebProxy-Instanz
  • DESTINATION_RANGE: Bereich der IP-Adressen, an die der Traffic weitergeleitet werden soll
  • PRIORITY: Priorität der Route; höhere Zahlen bedeuten eine niedrigere Priorität
  • TAGS: eine durch Kommas getrennte Liste von Tags, die Sie für Ihre sichere Web-Proxy-Instanz erstellt haben
  • PROJECT: ID Ihres Projekts

Richtlinienbasierte Routen erstellen

Als Alternative zum statischen Routing können Sie mit dem Befehl network-connectivity policy-based-routes create eine richtlinienbasierte Route einrichten. Außerdem müssen Sie eine richtlinienbasierte Route als Standardroute erstellen, um das Standard-Routing für den Traffic zwischen VM-Instanzen in Ihrem Netzwerk zu aktivieren. Weitere Informationen zur Funktionsweise richtlinienbasierter Routen inGoogle Cloudfinden Sie unter Richtlinienbasiertes Routing.

Die Priorität der Route, die das Standard-Routing aktiviert, muss höher (numerisch niedriger) sein als die Priorität der richtlinienbasierten Route, die den Traffic an die Instanz des sicheren Web-Proxys weiterleitet. Wenn Sie die richtlinienbasierte Route mit einer höheren Priorität als die Route erstellen, die das Standard-Routing aktiviert, hat sie Vorrang vor allen anderen VPC-Routen.

Im folgenden Beispiel wird eine richtlinienbasierte Route erstellt, die den Traffic an Ihre Secure Web Proxy-Instanz weiterleitet.

gcloud

Verwenden Sie den folgenden Befehl, um die richtlinienbasierte Route zu erstellen.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

Ersetzen Sie Folgendes:

  • POLICY_BASED_ROUTE_NAME: Name der richtlinienbasierten Route
  • NETWORK_NAME: Name Ihres Netzwerks
  • SWP_IP: IP-Adresse Ihrer Secure Web Proxy-Instanz
  • DESTINATION_RANGE: Bereich der IP-Adressen, an die der Traffic weitergeleitet werden soll
  • SOURCE_RANGE: Bereich der IP-Adressen, von denen aus der Traffic weitergeleitet werden soll
  • PROJECT: ID Ihres Projekts

Führen Sie als Nächstes die folgenden Schritte aus, um die richtlinienbasierte Standard-Routing-Route zu erstellen.

gcloud

Verwenden Sie den folgenden Befehl, um die richtlinienbasierte Standard-Routing-Route zu erstellen.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

Ersetzen Sie Folgendes:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: Name der richtlinienbasierten Route
  • NETWORK_NAME: Name Ihres Netzwerks
  • DESTINATION_RANGE: Bereich der IP-Adressen, an die der Traffic weitergeleitet werden soll
  • SOURCE_RANGE: Bereich der IP-Adressen, von denen aus der Traffic weitergeleitet werden soll
  • PROJECT: ID Ihres Projekts

Checkliste nach der Bereitstellung

Führen Sie die folgenden Aufgaben aus, nachdem Sie entweder eine statische Route oder eine richtlinienbasierte Route mit Ihrer Secure Web Proxy-Instanz als nächsten Hop konfiguriert haben:

  • Prüfen Sie, ob eine Standardroute zum Internetgateway vorhanden ist.
  • Fügen Sie der statischen Route, die als nächster Hop auf Ihre Secure Web Proxy-Instanz verweist, das richtige Netzwerk-Tag hinzu.
  • Legen Sie eine geeignete Priorität für die Standardroute zur Instanz des sicheren Web-Proxys als nächsten Hop fest.
  • Da Secure Web Proxy ein regionaler Dienst ist, muss der Client-Traffic aus derselben Region stammen wie Ihre Secure Web Proxy-Instanz.

Beschränkungen

  • SecureWebProxy-Instanzen mit RoutingMode als NEXT_HOP_ROUTING_MODE unterstützen HTTP(S)- und TCP-Proxy-Traffic. Andere Arten von Traffic, einschließlich regionsübergreifender Traffic, werden ohne Benachrichtigung blockiert.
  • Wenn Sie next-hop-ilb verwenden, gelten die Einschränkungen, die für interne Passthrough-Network-Load-Balancer gelten, für nächste Hops, wenn der Ziel-Next-Hop eine Secure Web Proxy-Instanz ist. Weitere Informationen finden Sie in den Tabellen zu nächsten Hops und Funktionen für statische Routen.