Men-deploy Secure Web Proxy sebagai next hop

Halaman ini memberikan ringkasan tentang cara membuat kebijakan Secure Web Proxy, lalu menjelaskan cara mengonfigurasi pemilihan rute next hop untuk instance Secure Web Proxy Anda. Selain itu, halaman ini menjelaskan cara mengonfigurasi pemilihan rute statis atau pemilihan rute berbasis kebijakan untuk next hop Anda.

Secara default, instance SecureWebProxy memiliki nilai RoutingMode sebesar EXPLICIT_ROUTING_MODE, yang berarti Anda harus mengonfigurasi beban kerja untuk mengirim traffic HTTP(S) secara eksplisit ke Secure Web Proxy. Daripada mengonfigurasi setiap klien untuk mengarah ke instance Secure Web Proxy, Anda dapat menetapkan RoutingMode instance Secure Web Proxy sebagai NEXT_HOP_ROUTING_MODE, yang memungkinkan Anda menentukan rute yang mengarahkan traffic ke instance Secure Web Proxy.

Mengonfigurasi pemilihan rute next hop untuk Secure Web Proxy

Bagian ini menjelaskan langkah-langkah untuk membuat kebijakan Secure Web Proxy dan prosedur untuk men-deploy instance Secure Web Proxy sebagai next hop.

Membuat kebijakan Secure Web Proxy

  1. Selesaikan semua langkah prasyarat yang diperlukan.
  2. Buat kebijakan Secure Web Proxy.
  3. Membuat aturan Secure Web Proxy.

Men-deploy instance Secure Web Proxy sebagai next hop

Konsol

  1. Di Google Cloud console, buka halaman Web Proxies.

    Buka Proxy Web

  2. Klik Create a secure web proxy.

  3. Masukkan nama untuk proxy web yang ingin Anda buat, seperti myswp.

  4. Masukkan deskripsi proxy web, seperti My new swp.

  5. Untuk Mode pemilihan rute, pilih opsi Next hop.

  6. Di daftar Regions, pilih region tempat Anda ingin membuat proxy web.

  7. Di daftar Network, pilih jaringan tempat Anda ingin membuat proxy web.

  8. Dalam daftar Subnetwork, pilih subnetwork tempat Anda ingin membuat proxy web.

  9. Opsional: Masukkan alamat IP Secure Web Proxy. Anda dapat memasukkan alamat IP dari rentang alamat IP Secure Web Proxy yang berada di subnetwork yang Anda buat pada langkah sebelumnya. Jika Anda tidak memasukkan alamat IP, instance Secure Web Proxy Anda akan otomatis memilih alamat IP dari subnetwork yang dipilih.

  10. Di daftar Certificate, pilih sertifikat yang ingin Anda gunakan untuk membuat proxy web.

  11. Di daftar Kebijakan, pilih kebijakan yang Anda buat untuk mengaitkan proxy web.

  12. Klik Buat.

Cloud Shell

  1. Buat file gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

  2. Buat instance Secure Web Proxy.

    gcloud network-services gateways import swp1 \
  --source=gateway.yaml \
  --location=REGION

    Mungkin perlu waktu beberapa menit untuk men-deploy instance Secure Web Proxy.

Membuat rute untuk next hop

Setelah membuat instance Secure Web Proxy, Anda dapat mengonfigurasi pemilihan rute statis atau pemilihan rute berbasis kebijakan untuk next hop:

  • Rute statis mengarahkan traffic dalam jaringan ke instance Secure Web Proxy di region yang sama. Untuk menyiapkan rute statis dengan Proxy Web Aman sebagai next hop, Anda harus mengonfigurasi tag jaringan.
  • Dengan rute berbasis kebijakan, Anda dapat mengarahkan traffic ke instance Secure Web Proxy dari rentang alamat IP sumber. Saat mengonfigurasi rute berbasis kebijakan untuk pertama kalinya, Anda juga harus mengonfigurasi rute berbasis kebijakan lain sebagai rute default.

Dua bagian berikut menjelaskan cara membuat rute statis dan rute berbasis kebijakan.

Membuat rute statis

Untuk merutekan traffic ke instance Secure Web Proxy, siapkan rute statis dengan perintah gcloud compute routes create. Anda harus mengaitkan rute statis dengan tag jaringan, dan menggunakan tag jaringan yang sama di semua resource sumber untuk membantu memastikan bahwa traffic-nya dialihkan ke instance Secure Web Proxy Anda. Rute statis tidak memungkinkan Anda menentukan rentang alamat IP sumber.

Untuk mengetahui informasi selengkapnya tentang cara kerja rute statis di Google Cloud, lihat Rute statis.

gcloud

Gunakan perintah berikut untuk membuat rute statis.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

Ganti kode berikut:

  • STATIC_ROUTE_NAME: nama rute statis Anda
  • NETWORK_NAME: nama jaringan Anda
  • SWP_IP: Alamat IP instance SecureWebProxy Anda
  • DESTINATION_RANGE: rentang alamat IP yang ingin Anda jadikan tujuan pengalihan traffic
  • PRIORITY: prioritas rute Anda; angka yang lebih tinggi menunjukkan prioritas yang lebih rendah
  • TAGS: daftar tag yang dipisahkan koma yang Anda buat untuk instance Secure Web Proxy
  • PROJECT: ID project Anda

Membuat rute berbasis kebijakan

Sebagai alternatif untuk pemilihan rute statis, Anda dapat menyiapkan rute berbasis kebijakan dengan menggunakan perintah network-connectivity policy-based-routes create. Anda juga harus membuat rute berbasis kebijakan sebagai rute default, yang memungkinkan pemilihan rute default untuk traffic antar-instance virtual machine (VM) dalam jaringan Anda. Untuk mengetahui informasi selengkapnya tentang cara kerja rute berbasis kebijakan di Google Cloud, lihat Pemilihan rute berbasis kebijakan.

Prioritas rute yang mengaktifkan pemilihan rute default harus lebih tinggi (secara numerik lebih rendah) daripada prioritas rute berbasis kebijakan yang mengarahkan traffic ke instance Secure Web Proxy. Jika Anda membuat rute berbasis kebijakan dengan prioritas lebih tinggi daripada rute yang mengaktifkan perutean default, rute tersebut akan lebih diprioritaskan daripada semua rute VPC lainnya.

Gunakan contoh berikut untuk membuat rute berbasis kebijakan yang mengarahkan traffic ke instance Secure Web Proxy Anda.

gcloud

Gunakan perintah berikut untuk membuat rute berbasis kebijakan.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

Ganti kode berikut:

  • POLICY_BASED_ROUTE_NAME: nama rute berbasis kebijakan Anda
  • NETWORK_NAME: nama jaringan Anda
  • SWP_IP: Alamat IP instance Secure Web Proxy Anda
  • DESTINATION_RANGE: rentang alamat IP yang ingin Anda jadikan tujuan pengalihan traffic
  • SOURCE_RANGE: rentang alamat IP tempat Anda ingin mengalihkan traffic
  • PROJECT: ID project Anda

Selanjutnya, gunakan langkah-langkah berikut untuk membuat rute berbasis kebijakan pemilihan rute default.

gcloud

Gunakan perintah berikut untuk membuat rute berbasis kebijakan pemilihan rute default.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

Ganti kode berikut:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: nama rute berbasis kebijakan Anda
  • NETWORK_NAME: nama jaringan Anda
  • DESTINATION_RANGE: rentang alamat IP yang ingin Anda jadikan tujuan pengalihan traffic
  • SOURCE_RANGE: rentang alamat IP tempat Anda ingin mengalihkan traffic
  • PROJECT: ID project Anda

Checklist pasca-deployment

Pastikan Anda menyelesaikan tugas berikut setelah mengonfigurasi rute statis atau rute berbasis kebijakan dengan instance Secure Web Proxy sebagai next hop:

  • Pastikan ada rute default ke internet gateway.
  • Tambahkan tag jaringan yang benar ke rute statis yang mengarah ke instance Secure Web Proxy Anda sebagai next hop.
  • Tentukan prioritas yang sesuai untuk rute default ke instance Proxy Web Aman Anda sebagai next hop.
  • Karena Secure Web Proxy adalah layanan regional, pastikan traffic klien berasal dari region yang sama dengan instance Secure Web Proxy Anda.

Batasan

  • Instance SecureWebProxy dengan RoutingMode ditetapkan sebagai NEXT_HOP_ROUTING_MODE mendukung traffic proxy HTTP(S) dan TCP. Jenis traffic lainnya, termasuk traffic lintas-region, akan dihapus tanpa notifikasi.
  • Saat Anda menggunakan next-hop-ilb, batasan yang berlaku untuk Load Balancer Jaringan passthrough internal berlaku untuk next hop jika next hop tujuan adalah instance Secure Web Proxy. Untuk informasi selengkapnya, lihat tabel next hop dan fitur untuk rute statis.
  • Semua traffic dari virtual machine (VM), termasuk traffic latar belakang dan update, yang cocok dengan rute next hop Anda akan dirutekan ke instance Secure Web Proxy Anda.