De forma predeterminada, las instancias de SecureWebProxy tienen un valor RoutingMode de EXPLICIT_ROUTING_MODE, lo que significa que debes configurar tus cargas de trabajo para que envíen tráfico HTTP(S) de forma explícita al Proxy web seguro. En lugar de configurar clientes individuales para que apunten a tu instancia de Proxy web seguro, puedes establecer el RoutingMode de tu instancia de Proxy web seguro en NEXT_HOP_ROUTING_MODE, lo que te permite definir rutas que dirijan el tráfico a tu instancia de Proxy web seguro.
En este documento, se describe cómo configurar el enrutamiento de próximo salto con el proxy web seguro. Se supone que ya tienes una instancia del Proxy web seguro con su RoutingMode establecida en NEXT_HOP_ROUTING_MODE. Si no tienes una instancia de Proxy web seguro, sigue las instrucciones de la guía de inicio rápido para crear una y asegúrate de configurar RoutingMode como NEXT_HOP_ROUTING_MODE.
Después de crear un proxy web seguro, puedes configurar el enrutamiento estático o el enrutamiento basado en políticas para tu próximo salto:
- Las rutas estáticas dirigen el tráfico dentro de tu red a tu proxy web seguro en la misma región. Para configurar una ruta estática con el Proxy web seguro como próximo salto, debes configurar etiquetas de red.
- Las rutas basadas en políticas te permiten dirigir el tráfico a tu proxy web seguro desde un rango de direcciones IP de origen. Cuando configures una ruta basada en políticas por primera vez, también debes configurar otra ruta basada en políticas para que sea la ruta predeterminada.
En las siguientes secciones, se explica cómo crear rutas estáticas y rutasbasadas en políticas.
Crea rutas estáticas
Para enrutar el tráfico a tu instancia del Proxy web seguro, puedes configurar una ruta estática con el comando gcloud compute routes create. Debes asociar la ruta estática con una etiqueta de red y usar la misma etiqueta de red en todos tus recursos de origen para asegurarte de que su tráfico se redireccione al proxy web seguro. Las rutas estáticas no te permiten definir
un rango de direcciones IP de origen.
gcloud
Usa el siguiente comando para crear una ruta estática:
gcloud compute routes create STATIC_ROUTE_NAME \
--network=NETWORK_NAME \
--next-hop-ilb=SWP_IP \
--destination-range=DESTINATION_RANGE \
--priority=PRIORITY \
--tags=TAGS \
--project=PROJECT
Reemplaza lo siguiente:
STATIC_ROUTE_NAME: Es el nombre que deseas para tu ruta estática.NETWORK_NAME: El nombre de tu redSWP_IP: Es la dirección IP de tu instancia deSecureWebProxy.DESTINATION_RANGE: Es el rango de direcciones IP al que se redireccionará el tráfico.PRIORITY: Es la prioridad de tu ruta. Los números más altos tienen una prioridad más baja.TAGS: Es una lista separada por comas de las etiquetas que creaste para tu proxy web seguro.PROJECT: El ID de tu proyecto
Crea rutas basadas en políticas
Como alternativa al enrutamiento estático, puedes configurar una ruta basada en políticas con el comando network-connectivity policy-based-routes create. También debes crear una ruta basada en políticas para que sea la ruta predeterminada, lo que habilita el enrutamiento predeterminado para el tráfico entre instancias de máquina virtual (VM) dentro de tu red.
La prioridad de la ruta que habilita el enrutamiento predeterminado debe ser más alta (numéricamente más baja) que la prioridad de la ruta basada en políticas que dirige el tráfico a la instancia de Secure Web Proxy. Si creas la ruta basada en políticas con una prioridad más alta que la ruta que habilita el enrutamiento predeterminado, esta tendrá prioridad sobre todas las demás rutas de VPC.
En el siguiente ejemplo, creas una ruta basada en políticas que dirige el tráfico a tu instancia de Proxy web seguro:
gcloud
Usa el siguiente comando para crear la ruta basada en políticas:
gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-ilb-ip=SWP_IP \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=2 \
--project=PROJECT
Reemplaza lo siguiente:
POLICY_BASED_ROUTE_NAME: el nombre que deseas para tu ruta basada en políticasNETWORK_NAME: El nombre de tu redSWP_IP: La dirección IP de tu instancia de proxy web seguroDESTINATION_RANGE: Es el rango de direcciones IP al que se redireccionará el tráfico.SOURCE_RANGE: Es el rango de direcciones IP desde las que se redireccionará el tráfico.PROJECT: El ID de tu proyecto
A continuación, sigue estos pasos para crear la ruta basada en la política de enrutamiento predeterminada:
gcloud
Usa el siguiente comando para crear la ruta basada en la política de enrutamiento predeterminada:
gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
--network="projects/PROJECT/global/networks/NETWORK_NAME" \
--next-hop-other-routes="DEFAULT_ROUTING" \
--protocol-version="IPV4" \
--destination-range=DESTINATION_RANGE \
--source-range=SOURCE_RANGE \
--priority=1 \
--project=PROJECT
Reemplaza lo siguiente:
DEFAULT_POLICY_BASED_ROUTE_NAME: Es el nombre que deseas para tu ruta basada en políticas.NETWORK_NAME: El nombre de tu redDESTINATION_RANGE: Es el rango de direcciones IP al que se redireccionará el tráfico.SOURCE_RANGE: Es el rango de direcciones IP desde las que se redireccionará el tráfico.PROJECT: El ID de tu proyecto
Limitaciones
- Las instancias de
SecureWebProxyconRoutingModeestablecido enNEXT_HOP_ROUTING_MODEsolo admiten tráfico HTTP(S). Otros tipos de tráfico, así como el tráfico entre regiones, se descartan sin notificación. - Cuando usas
next-hop-ilb, las limitaciones que se aplican a los balanceadores de cargas de red de transferencia internos se aplican a los próximos saltos si el próximo salto de destino es una instancia de proxy web seguro. Para obtener más información, consulta las tablas de próximos saltos y funciones de las rutas estáticas.