Implementa el proxy web seguro como siguiente salto

En esta página, se proporciona una descripción general de cómo crear una política de Proxy web seguro y, luego, se explica cómo configurar el enrutamiento de próximo salto para tu instancia de Proxy web seguro. Además, en esta página, se describe cómo configurar el enrutamiento estático o el enrutamiento basado en políticas para el próximo salto.

De forma predeterminada, las instancias de SecureWebProxy tienen un valor RoutingMode de EXPLICIT_ROUTING_MODE, lo que significa que debes configurar tus cargas de trabajo para que envíen tráfico HTTP(S) de forma explícita al Proxy web seguro. En lugar de configurar clientes individuales para que apunten a tu instancia de Proxy web seguro, puedes configurar el RoutingMode de tu instancia de Proxy web seguro como NEXT_HOP_ROUTING_MODE, lo que te permite definir rutas que dirijan el tráfico a tu instancia de Proxy web seguro.

Configura el enrutamiento de próximo salto para el Proxy web seguro

En esta sección, se describen los pasos para crear una política de Proxy web seguro y el procedimiento para implementar tu instancia de Proxy web seguro como próximo salto.

Crea una política del Proxy web seguro

  1. Completa todos los pasos de requisito previo obligatorios.
  2. Crea una política de Proxy web seguro.
  3. Crea reglas del Proxy web seguro.

Implementa tu instancia del Proxy web seguro como siguiente salto

Console

  1. En la consola de Google Cloud, ve a la página Proxy web seguro.

    Ir a Proxy web seguro

  2. Haz clic en la pestaña Proxy web.

  3. Haz clic en Crear un proxy web seguro.

  4. Ingresa un nombre para el proxy web que deseas crear, como myswp.

  5. Ingresa una descripción del proxy web, como My new swp.

  6. En Modo de enrutamiento, selecciona la opción Próximo salto.

  7. En la lista Regiones, selecciona la región en la que deseas crear el proxy web.

  8. En la lista Red, selecciona la red en la que deseas crear el proxy web.

  9. En la lista Subred, selecciona la subred en la que deseas crear el proxy web.

  10. Ingresa la dirección IP del proxy web.

  11. En la lista Certificado, selecciona el certificado que deseas usar para crear el proxy web.

  12. En la lista Política, selecciona la política que creaste para asociar el proxy web.

  13. Haz clic en Crear.

Cloud Shell

  1. Crea el archivo gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

  2. Crea una instancia del Proxy web seguro.

    gcloud network-services gateways import swp1 \
  --source=gateway.yaml \
  --location=REGION

    Una instancia de Secure Web Proxy puede tardar varios minutos en implementarse.

Crea rutas para el siguiente salto

Después de crear una instancia de proxy web seguro, puedes configurar el enrutamiento estático o el enrutamiento basado en políticas para tu próximo salto:

  • Las rutas estáticas dirigen el tráfico dentro de tu red a la instancia de Proxy web seguro en la misma región. Para configurar una ruta estática con tu Proxy web seguro como próximo salto, debes configurar etiquetas de red.
  • Las rutas basadas en políticas te permiten dirigir el tráfico a tu instancia de proxy web seguro desde un rango de direcciones IP de origen. Cuando configures una ruta basada en políticas por primera vez, también debes configurar otra ruta basada en políticas para que sea la ruta predeterminada.

En las siguientes dos secciones, se explica cómo crear rutas estáticas y rutas basadas en políticas.

Crea rutas estáticas

Para enrutar el tráfico a tu instancia del Proxy web seguro, configura una ruta estática con el comando gcloud compute routes create. Debes asociar la ruta estática con una etiqueta de red y usar la misma etiqueta de red en todos tus recursos de origen para asegurarte de que su tráfico se redireccione a tu instancia de proxy web seguro. Las rutas estáticas no te permiten definir un rango de direcciones IP de origen.

Para obtener más información sobre cómo funcionan las rutas estáticas en Google Cloud, consulta Rutas estáticas.

gcloud

Usa el siguiente comando para crear una ruta estática.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

Reemplaza lo siguiente:

  • STATIC_ROUTE_NAME: Es el nombre de tu ruta estática.
  • NETWORK_NAME: Es el nombre de tu red.
  • SWP_IP: Es la dirección IP de tu instancia de SecureWebProxy.
  • DESTINATION_RANGE: Es el rango de direcciones IP al que deseas redireccionar el tráfico.
  • PRIORITY: Es la prioridad de tu ruta. Los números más altos indican una prioridad más baja.
  • TAGS: Es una lista separada por comas de las etiquetas que creaste para tu instancia de Proxy web seguro.
  • PROJECT: Es el ID de tu proyecto.

Crea rutas basadas en políticas

Como alternativa al enrutamiento estático, puedes configurar una ruta basada en políticas con el comando network-connectivity policy-based-routes create. También debes crear una ruta basada en políticas para que sea la ruta predeterminada, lo que habilita el enrutamiento predeterminado para el tráfico entre instancias de máquinas virtuales (VM) dentro de tu red. Para obtener más información sobre cómo funcionan las rutas basadas en políticas enGoogle Cloud, consulta Enrutamiento basado en políticas.

La prioridad de la ruta que habilita el enrutamiento predeterminado debe ser más alta (numéricamente más baja) que la prioridad de la ruta basada en políticas que dirige el tráfico a la instancia de Secure Web Proxy. Si creas la ruta basada en políticas con una prioridad más alta que la ruta que habilita el enrutamiento predeterminado, esta tendrá prioridad sobre todas las demás rutas de VPC.

Usa el siguiente ejemplo para crear una ruta basada en políticas que dirija el tráfico a tu instancia de Proxy web seguro.

gcloud

Usa el siguiente comando para crear la ruta basada en políticas.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

Reemplaza lo siguiente:

  • POLICY_BASED_ROUTE_NAME: Es el nombre de tu ruta basada en políticas.
  • NETWORK_NAME: Es el nombre de tu red.
  • SWP_IP: Es la dirección IP de tu instancia de proxy web seguro.
  • DESTINATION_RANGE: Es el rango de direcciones IP al que deseas redireccionar el tráfico.
  • SOURCE_RANGE: Es el rango de direcciones IP desde las que deseas redireccionar el tráfico.
  • PROJECT: Es el ID de tu proyecto.

A continuación, sigue los pasos que se indican para crear la ruta basada en la política de enrutamiento predeterminada.

gcloud

Usa el siguiente comando para crear la ruta basada en la política de enrutamiento predeterminada.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

Reemplaza lo siguiente:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: Es el nombre de tu ruta basada en políticas.
  • NETWORK_NAME: Es el nombre de tu red.
  • DESTINATION_RANGE: Es el rango de direcciones IP al que deseas redireccionar el tráfico.
  • SOURCE_RANGE: Es el rango de direcciones IP desde las que deseas redireccionar el tráfico.
  • PROJECT: Es el ID de tu proyecto.

Lista de tareas posteriores a la implementación

Asegúrate de completar las siguientes tareas después de configurar una ruta estática o una ruta basada en políticas con tu instancia de proxy web seguro como próximo salto:

  • Confirma que haya una ruta predeterminada a la puerta de enlace de Internet.
  • Agrega la etiqueta de red correcta a la ruta estática que apunta a tu instancia de Proxy web seguro como próximo salto.
  • Define una prioridad adecuada para la ruta predeterminada a tu instancia de Proxy web seguro como próximo salto.
  • Dado que el Proxy web seguro es un servicio regional, asegúrate de que el tráfico del cliente se origine en la misma región que tu instancia de Proxy web seguro.

Limitaciones

  • Las instancias de SecureWebProxy con RoutingMode configurado como NEXT_HOP_ROUTING_MODE admiten tráfico de proxy HTTP(S) y TCP. Otros tipos de tráfico, incluido el entre regiones, se descartan sin notificación.
  • Cuando usas next-hop-ilb, las limitaciones que se aplican a los balanceadores de cargas de red de transferencia internos se aplican a los próximos saltos si el próximo salto de destino es una instancia de proxy web seguro. Para obtener más información, consulta las tablas de próximos saltos y funciones de las rutas estáticas.