Implementa el proxy web seguro como siguiente salto

De forma predeterminada, las instancias SecureWebProxy tienen un valor RoutingMode de EXPLICIT_ROUTING_MODE, lo que significa que debes configurar tus cargas de trabajo para enviar de manera explícita tráfico HTTP(S) al Proxy web seguro. En lugar de configurar clientes individuales para que apunten a tu instancia de Proxy web seguro, puedes establecer el RoutingMode de tu instancia de Proxy web seguro en NEXT_HOP_ROUTING_MODE, lo que te permite definir rutas que dirijan el tráfico a tu instancia de Proxy web seguro.

En este documento, se describe cómo configurar el enrutamiento de próximo salto con Proxy web seguro Se supone que ya tienes un Proxy web seguro con su RoutingMode configurado como NEXT_HOP_ROUTING_MODE. Si no tener una instancia del Proxy web seguro, sigue las instrucciones guía de inicio rápido para crear uno y garantizar configura RoutingMode como NEXT_HOP_ROUTING_MODE.

Luego de crear un Proxy web seguro, puedes configurar enrutamiento estático o enrutamiento basado en políticas para tu próximo salto:

  • Las rutas estáticas dirigen el tráfico dentro de tu red a tu Proxy web seguro en la misma región. Para configurar una ruta estática con el Proxy web seguro como próximo salto, debes configurar etiquetas de red.
  • Las rutas basadas en políticas permiten dirigir el tráfico a tu Proxy web seguro desde una el rango de direcciones IP de origen. Cuando configuras una ruta basada en políticas para la primera también debes configurar otra ruta basada en políticas para que sea la predeterminada ruta.

En las siguientes secciones, se explica cómo crear rutas estáticas y basadas en políticas rutas.

Crea rutas estáticas

Para enrutar el tráfico a tu instancia del Proxy web seguro, puedes configurar ruta con el comando gcloud compute routes create. Debes asociar el ruta estática con una etiqueta de red y usa la misma etiqueta de red en todos tus recursos de origen para asegurarte de que su el tráfico se redirecciona al Proxy web seguro. Las rutas estáticas no te permiten definir un rango de direcciones IP de origen.

gcloud

Usa el siguiente comando para crear una ruta estática:

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

Reemplaza lo siguiente:

  • STATIC_ROUTE_NAME: Es el nombre que deseas para tu elemento estático. ruta
  • NETWORK_NAME: El nombre de tu red
  • SWP_IP: Es la dirección IP de tu instancia de SecureWebProxy.
  • DESTINATION_RANGE: El rango de direcciones IP para las que se enviará redireccionamiento del tráfico
  • PRIORITY: Es la prioridad de tu ruta. Los números más altos tienen una prioridad más baja.
  • TAGS: Es una lista separada por comas de las etiquetas que creaste para tu proxy web seguro.
  • PROJECT: El ID de tu proyecto

Crea rutas basadas en políticas

Como alternativa al enrutamiento estático, puedes configurar una ruta basada en políticas con el comando network-connectivity policy-based routes create. También necesitas crear una ruta basada en políticas para que sea la predeterminada, lo que permite para el tráfico entre instancias de máquina virtual (VM) dentro de tu en cada red.

La prioridad de la ruta que habilita el enrutamiento predeterminado debe ser más alta (numéricamente más baja) que la prioridad de la ruta basada en políticas que dirige el tráfico a la instancia de proxy web seguro. Si creas la ruta basada en políticas con una prioridad más alta que la ruta que habilita el enrutamiento predeterminado, toma prioridad sobre todas las demás rutas de VPC.

En el siguiente ejemplo, creas una ruta basada en políticas que dirige el tráfico a tu instancia del Proxy web seguro:

gcloud

Usa el siguiente comando para crear la ruta basada en políticas:

gcloud network-connectivity policy-based routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

Reemplaza lo siguiente:

  • POLICY_BASED_ROUTE_NAME: Es el nombre que deseas para tu política. ruta basada en
  • NETWORK_NAME: El nombre de tu red
  • SWP_IP: La dirección IP de tu instancia de proxy web seguro
  • DESTINATION_RANGE: El rango de direcciones IP para las que se enviará redireccionamiento del tráfico
  • SOURCE_RANGE: El rango de direcciones IP desde las que se redireccionará. tráfico
  • PROJECT: El ID de tu proyecto

A continuación, sigue estos pasos para crear la ruta basada en políticas de enrutamiento predeterminada:

gcloud

Usa el siguiente comando para crear la ruta basada en políticas de enrutamiento predeterminado:

gcloud network-connectivity policy-based routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

Reemplaza lo siguiente:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: Es el nombre que deseas. la ruta basada en políticas
  • NETWORK_NAME: Es el nombre de la red.
  • DESTINATION_RANGE: El rango de direcciones IP para las que se enviará redireccionamiento del tráfico
  • SOURCE_RANGE: El rango de direcciones IP desde las que se redireccionará. tráfico
  • PROJECT: El ID de tu proyecto

Limitaciones

  • El Proxy web seguro como próximo salto solo funciona con reglas que tienen TLS la inspección habilitada. No se pueden usar reglas sin inspección de TLS con instancias del Proxy web seguro en NEXT_HOP_ROUTING_MODE. Para ver más más detallada sobre la inspección de TLS, consulta Descripción general de la inspección de TLS.
  • SecureWebProxy instancia con RoutingMode configurado como NEXT_HOP_ROUTING_MODE solo admiten tráfico HTTP(S). Otros tipos de tráfico, así como entre regiones tráfico, se descarta sin notificación.
  • Cuando uses next-hop-ilb, las limitaciones que se aplican a los balanceadores de cargas de red de transferencia internos aplicar a los próximos saltos si el próximo salto de destino es un Proxy web seguro instancia. Para obtener más información, consulta las tablas de próximos saltos y atributos para rutas estáticas.