Déployer le proxy Web sécurisé en tant que saut suivant

Cette page explique comment créer une stratégie de proxy Web sécurisé, puis comment configurer le routage du prochain saut pour votre instance de proxy Web sécurisé. En outre, cette page explique comment configurer le routage statique ou le routage basé sur les règles pour votre saut suivant.

Par défaut, la valeur RoutingMode des instances SecureWebProxy est EXPLICIT_ROUTING_MODE, ce qui signifie que vous devez configurer vos charges de travail pour qu'elles envoient explicitement du trafic HTTP(S) au proxy Web sécurisé. Au lieu de configurer des clients individuels pour qu'ils pointent vers votre instance de proxy Web sécurisé, vous pouvez définir l'RoutingMode de votre instance de proxy Web sécurisé sur NEXT_HOP_ROUTING_MODE, ce qui vous permet de définir des routes qui dirigent le trafic vers votre instance de proxy Web sécurisé.

Configurer le routage de saut suivant pour le proxy Web sécurisé

Cette section décrit la procédure à suivre pour créer une stratégie de proxy Web sécurisé et déployer votre instance de proxy Web sécurisé en tant que prochain saut.

Créer une règle de proxy Web sécurisé

  1. Suivez toutes les étapes préalables requises.
  2. Créez une règle de proxy Web sécurisé.
  3. Créez des règles de proxy Web sécurisé.

Déployer votre instance de proxy Web sécurisé en tant que saut suivant

Console

  1. Dans la console Google Cloud , accédez à la page Proxys Web.

    Accéder aux proxys Web

  2. Cliquez sur Créer un proxy Web sécurisé.

  3. Saisissez un nom pour le proxy Web que vous souhaitez créer, par exemple myswp.

  4. Saisissez une description du proxy Web, par exemple My new swp.

  5. Pour Mode de routage, sélectionnez l'option Saut suivant.

  6. Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer le proxy Web.

  7. Dans la liste Réseau, sélectionnez le réseau sur lequel vous souhaitez créer le proxy Web.

  8. Dans la liste Sous-réseau, sélectionnez le sous-réseau dans lequel vous souhaitez créer le proxy Web.

  9. Facultatif: saisissez l'adresse IP du proxy Web sécurisé. Vous pouvez saisir une adresse IP à partir de la plage d'adresses IP du proxy Web sécurisé qui se trouve dans le sous-réseau que vous avez créé à l'étape précédente. Si vous ne saisissez pas d'adresse IP, votre instance de proxy Web sécurisé choisit automatiquement une adresse IP dans le sous-réseau sélectionné.

  10. Dans la liste Certificat, sélectionnez le certificat que vous souhaitez utiliser pour créer le proxy Web.

  11. Dans la liste Règle, sélectionnez la règle que vous avez créée pour associer le proxy Web.

  12. Cliquez sur Créer.

Cloud Shell

  1. Créez le fichier gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
    type: SECURE_WEB_GATEWAY
    addresses: ["IP_ADDRESS"]
    ports: [443]
    gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    network: projects/PROJECT_ID/global/networks/NETWORK
    subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
    routingMode: NEXT_HOP_ROUTING_MODE
    
  2. Créez une instance de proxy Web sécurisé.

    gcloud network-services gateways import swp1 \
      --source=gateway.yaml \
      --location=REGION
    

    Le déploiement d'une instance de proxy Web sécurisé peut prendre plusieurs minutes.

Créer des routes pour le saut suivant

Une fois que vous avez créé une instance de proxy Web sécurisé, vous pouvez configurer le routage statique ou le routage basé sur des règles pour votre saut suivant:

  • Les routes statiques dirigent le trafic de votre réseau vers votre instance de proxy Web sécurisé dans la même région. Pour configurer une route statique avec votre proxy Web sécurisé en tant que saut suivant, vous devez configurer des tags réseau.
  • Les routes basées sur des règles vous permettent d'acheminer le trafic vers votre instance de proxy Web sécurisé à partir d'une plage d'adresses IP source. Lorsque vous configurez une route basée sur des règles pour la première fois, vous devez également configurer une autre route basée sur des règles en tant que route par défaut.

Les deux sections suivantes expliquent comment créer des routes statiques et des routes basées sur des règles.

Créer des routes statiques

Pour acheminer le trafic vers votre instance de proxy Web sécurisé, configurez une route statique avec la commande gcloud compute routes create. Vous devez associer la route statique à un tag réseau et utiliser le même tag réseau pour toutes vos ressources sources afin de vous assurer que leur trafic est redirigé vers votre instance de proxy Web sécurisé. Les routes statiques ne vous permettent pas de définir une plage d'adresses IP source.

Pour en savoir plus sur le fonctionnement des routes statiques dans Google Cloud, consultez la section Routes statiques.

gcloud

Utilisez la commande suivante pour créer une route statique.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT
 

Remplacez les éléments suivants :

  • STATIC_ROUTE_NAME: nom de votre route statique
  • NETWORK_NAME: nom de votre réseau
  • SWP_IP: adresse IP de votre instance SecureWebProxy
  • DESTINATION_RANGE: plage d'adresses IP vers lesquelles vous souhaitez rediriger le trafic
  • PRIORITY: priorité de votre itinéraire. Les nombres plus élevés correspondent à une priorité plus faible.
  • TAGS: liste des tags que vous avez créés pour votre instance de proxy Web sécurisé, séparés par une virgule
  • PROJECT: ID de votre projet

Créer des routes basées sur des règles

Au lieu du routage statique, vous pouvez configurer une route basée sur des règles à l'aide de la commande network-connectivity policy-based-routes create. Vous devez également créer une route basée sur des règles pour qu'elle soit la route par défaut, ce qui active le routage par défaut pour le trafic entre les instances de machine virtuelle (VM) de votre réseau. Pour en savoir plus sur le fonctionnement des routes basées sur des règles dansGoogle Cloud, consultez la section Routage basé sur des règles.

La priorité de la route qui active le routage par défaut doit être plus élevée (plus faible numériquement) que la priorité de la route basée sur des règles qui dirige le trafic vers l'instance du proxy Web sécurisé. Si vous créez la route basée sur des règles avec une priorité plus élevée que la route qui active le routage par défaut, elle a la priorité sur toutes les autres routes VPC.

Utilisez l'exemple suivant pour créer une route basée sur des règles qui redirige le trafic vers votre instance de proxy Web sécurisé.

gcloud

Utilisez la commande suivante pour créer la route basée sur des règles.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT
 

Remplacez les éléments suivants :

  • POLICY_BASED_ROUTE_NAME: nom de votre route basée sur des règles
  • NETWORK_NAME: nom de votre réseau
  • SWP_IP: adresse IP de votre instance de proxy Web sécurisé
  • DESTINATION_RANGE: plage d'adresses IP vers laquelle vous souhaitez rediriger le trafic
  • SOURCE_RANGE: plage d'adresses IP à partir de laquelle vous souhaitez rediriger le trafic
  • PROJECT: ID de votre projet

Ensuite, procédez comme suit pour créer le routage par défaut basé sur des règles.

gcloud

Utilisez la commande suivante pour créer la route basée sur des règles de routage par défaut.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT
 

Remplacez les éléments suivants :

  • DEFAULT_POLICY_BASED_ROUTE_NAME: nom de votre route basée sur des règles
  • NETWORK_NAME: nom de votre réseau
  • DESTINATION_RANGE: plage d'adresses IP vers lesquelles vous souhaitez rediriger le trafic
  • SOURCE_RANGE: plage d'adresses IP à partir de laquelle vous souhaitez rediriger le trafic
  • PROJECT: ID de votre projet

Checklist post-déploiement

Assurez-vous d'effectuer les tâches suivantes après avoir configuré une route statique ou une route basée sur des règles avec votre instance de proxy Web sécurisé comme saut suivant:

  • Vérifiez qu'il existe une route par défaut vers la passerelle Internet.
  • Ajoutez la balise réseau appropriée à la route statique qui pointe vers votre instance de proxy Web sécurisé en tant que saut suivant.
  • Définissez une priorité appropriée pour la route par défaut vers votre instance de proxy Web sécurisé en tant que saut suivant.
  • Étant donné que le proxy Web sécurisé est un service régional, assurez-vous que le trafic client provient de la même région que votre instance de proxy Web sécurisé.

Limites

  • Les instances SecureWebProxy avec RoutingMode défini sur NEXT_HOP_ROUTING_MODE acceptent le trafic proxy HTTP(S) et TCP. Les autres types de trafic, y compris le trafic interrégional, sont abandonnés sans notification.
  • Lorsque vous utilisez next-hop-ilb, les limites qui s'appliquent aux équilibreurs de charge réseau passthrough internes s'appliquent aux sauts suivants si le saut suivant de destination est une instance de proxy Web sécurisé. Pour en savoir plus, consultez les tables des sauts suivants et des fonctionnalités des routes statiques.
  • Tout le trafic provenant de machines virtuelles (VM), y compris le trafic en arrière-plan et les mises à jour, qui correspond à votre route de saut suivant est acheminé vers votre instance de proxy Web sécurisé.