Esegui il deployment di Secure Web Proxy come hop successivo

Questa pagina fornisce una panoramica su come creare un criterio Secure Web Proxy e poi spiega come configurare il routing del salto successivo per la tua istanza Secure Web Proxy. Inoltre, in questa pagina viene descritto come configurare il routing statico o il routing basato su criteri per l'hop successivo.

Per impostazione predefinita, le istanze SecureWebProxy hanno un valore RoutingMode di EXPLICIT_ROUTING_MODE, il che significa che devi configurare i tuoi carichi di lavoro in modo da inviare esplicitamente il traffico HTTP(S) a Secure Web Proxy. Anziché configurare i singoli client in modo che puntino all'istanza Secure Web Proxy, puoi impostare RoutingMode dell'istanza Secure Web Proxy come NEXT_HOP_ROUTING_MODE, in modo da definire i percorsi che indirizzano il traffico all'istanza Secure Web Proxy.

Configura il routing dell'hop successivo per Secure Web Proxy

Questa sezione descrive i passaggi per creare un criterio del proxy web sicuro e la procedura per eseguire il deployment dell'istanza di Secure Web Proxy come hop successivo.

Crea un criterio Secure Web Proxy

  1. Completa tutti i passaggi preliminari obbligatori.
  2. Crea un criterio Secure Web Proxy.
  3. Crea regole di Secure Web Proxy.

Esegui il deployment dell'istanza di Secure Web Proxy come hop successivo

Console

  1. Nella Google Cloud console, vai alla pagina Proxy web.

    Vai a Proxy web

  2. Fai clic su Crea un proxy web sicuro.

  3. Inserisci un nome per il proxy web che vuoi creare, ad esempio myswp.

  4. Inserisci una descrizione del proxy web, ad esempio My new swp.

  5. Per la Modalità di routing, seleziona l'opzione Hop successivo.

  6. Nell'elenco Regioni, seleziona la regione in cui vuoi creare il proxy web.

  7. Nell'elenco Rete, seleziona la rete in cui vuoi creare il proxy web.

  8. Nell'elenco Subnet, seleziona la sottorete in cui vuoi creare il proxy web.

  9. (Facoltativo) Inserisci l'indirizzo IP di Secure Web Proxy. Puoi inserire un indirizzo IP dall'intervallo di indirizzi IP del proxy web sicuro che si trova nella subnet creata nel passaggio precedente. Se non inserisci l'indirizzo IP, l'istanza di Secure Web Proxy sceglie automaticamente un indirizzo IP dalla subnet selezionata.

  10. Nell'elenco Certificato, seleziona il certificato da utilizzare per creare il proxy web.

  11. Nell'elenco Norma, seleziona la norma creata per associare il proxy web.

  12. Fai clic su Crea.

Cloud Shell

  1. Crea il file gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

  2. Crea un'istanza di Secure Web Proxy.

    gcloud network-services gateways import swp1 \
  --source=gateway.yaml \
  --location=REGION

    Il deployment di un'istanza di Secure Web Proxy può richiedere diversi minuti.

Crea route per l'hop successivo

Dopo aver creato un'istanza di Secure Web Proxy, puoi configurare il routing statico o il routing basato su criteri per l'hop successivo:

  • Le route statiche indirizzano il traffico all'interno della rete all'istanza Secure Web Proxy nella stessa regione. Per configurare un percorso statico con il proxy web sicuro come hop successivo, devi configurare i tag di rete.
  • Le route basate su criteri ti consentono di indirizzare il traffico all'istanza Secure Web Proxy da un intervallo di indirizzi IP di origine. Quando configuri un percorso basato su criteri per la prima volta, devi configurare anche un altro percorso basato su criteri come percorso predefinito.

Le due sezioni seguenti spiegano come creare route statiche e route basate su criteri.

Crea route statiche

Per instradare il traffico all'istanza di Secure Web Proxy, configura una route statica con il comando gcloud compute routes create. Devi associare la route statica a un tag di rete e utilizzare lo stesso tag di rete su tutte le risorse di origine per assicurarti che il loro traffico venga reindirizzato all'istanza Secure Web Proxy. Le route statiche non consentono di definire un intervallo di indirizzi IP di origine.

Per ulteriori informazioni sul funzionamento delle route statiche in Google Cloud, consulta Route statiche.

gcloud

Utilizza il seguente comando per creare una route statica.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

Sostituisci quanto segue:

  • STATIC_ROUTE_NAME: il nome della route statica
  • NETWORK_NAME: il nome della tua rete
  • SWP_IP: indirizzo IP della tua SecureWebProxy istanza
  • DESTINATION_RANGE: intervallo di indirizzi IP a cui vuoi reindirizzare il traffico
  • PRIORITY: priorità del percorso. I numeri più elevati indicano una priorità più bassa.
  • TAGS: elenco separato da virgole dei tag che hai creato per l'istanza di Secure Web Proxy
  • PROJECT: l'ID del tuo progetto

Crea route basate su criteri

In alternativa al routing statico, puoi configurare una route basata su criteri utilizzando il comando network-connectivity policy-based-routes create. Inoltre, devi creare una route basata su criteri da impostare come predefinita, che attivi il routing predefinito per il traffico tra le istanze di macchine virtuali (VM) all'interno della tua rete. Per ulteriori informazioni su come funzionano le route basate su criteri in Google Cloud, consulta Routing basato su criteri.

La priorità della route che abilita il routing predefinito deve essere superiore (numericamente inferiore) rispetto alla priorità della route basata su criteri che indirizza il traffico all'istanza Secure Web Proxy. Se crei la route basata su criteri con una priorità superiore a quella della route che abilita il routing predefinito, avrà la priorità su tutte le altre route del VPC.

Utilizza l'esempio seguente per creare una route basata su criteri che indirizzi il traffico all'istanza di Secure Web Proxy.

gcloud

Utilizza il seguente comando per creare la route basata su criteri.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

Sostituisci quanto segue:

  • POLICY_BASED_ROUTE_NAME: il nome del percorso basato su criteri
  • NETWORK_NAME: il nome della tua rete
  • SWP_IP: indirizzo IP dell'istanza di Secure Web Proxy
  • DESTINATION_RANGE: intervallo di indirizzi IP a cui vuoi reindirizzare il traffico
  • SOURCE_RANGE: intervallo di indirizzi IP da cui vuoi reindirizzare il traffico
  • PROJECT: l'ID del tuo progetto

A questo punto, segui questi passaggi per creare la route basata su criteri di routing predefinito.

gcloud

Utilizza il seguente comando per creare la route basata su criteri di routing predefinito.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

Sostituisci quanto segue:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: nome della route basata su criteri
  • NETWORK_NAME: il nome della tua rete
  • DESTINATION_RANGE: intervallo di indirizzi IP a cui vuoi reindirizzare il traffico
  • SOURCE_RANGE: intervallo di indirizzi IP da cui vuoi reindirizzare il traffico
  • PROJECT: l'ID del tuo progetto

Elenco di controllo post-deployment

Assicurati di completare le seguenti attività dopo aver configurato una route statica o una route basata su criteri con l'istanza Secure Web Proxy come hop successivo:

  • Verifica che esista una route predefinita per il gateway internet.
  • Aggiungi il tag di rete corretto alla route statica che rimanda all'istanza di Secure Web Proxy come hop successivo.
  • Definisci una priorità appropriata per la route predefinita all'istanza di Secure Web Proxy come hop successivo.
  • Poiché Secure Web Proxy è un servizio regionale, assicurati che il traffico del client provenga dalla stessa regione dell'istanza di Secure Web Proxy.

Limitazioni

  • Le istanze SecureWebProxy con RoutingMode impostato su NEXT_HOP_ROUTING_MODE supportano il traffico proxy HTTP(S) e TCP. Altri tipi di traffico, tra cui il traffico tra regioni, vengono ignorati senza invio di notifiche.
  • Quando utilizzi next-hop-ilb, le limitazioni che si applicano ai bilanciatori del carico di rete passthrough interni si applicano agli hop successivi se l'hop successivo di destinazione è un'istanza di Secure Web Proxy. Per ulteriori informazioni, consulta le tabelle relative agli hop e alle funzionalità successivi per le route statiche.
  • Tutto il traffico proveniente dalle macchine virtuali (VM), inclusi aggiornamenti e traffico in background, che corrisponde al percorso dell'hop successivo verrà indirizzato all'istanza di Secure Web Proxy.