Implantar o Secure Web Proxy como próximo salto

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Esta página fornece uma visão geral de como criar uma política do Secure Web Proxy e explica como configurar o roteamento de próximo salto para sua instância do Secure Web Proxy. Além disso, esta página descreve como configurar o roteamento estático ou o roteamento baseado em políticas para o próximo salto.

Por padrão, as instâncias SecureWebProxy têm um valor RoutingMode de EXPLICIT_ROUTING_MODE, o que significa que você precisa configurar seus workloads para enviar explicitamente o tráfego HTTP(S) ao Secure Web Proxy. Em vez de configurar clientes individuais para apontar para sua instância do Secure Web Proxy, você pode definir o RoutingMode da instância do Secure Web Proxy como NEXT_HOP_ROUTING_MODE, o que permite definir rotas que direcionam o tráfego para a instância do Secure Web Proxy.

Configurar o roteamento de salto seguinte para o Secure Web Proxy

Esta seção descreve as etapas para criar uma política do Secure Web Proxy e o procedimento para implantar a instância do Secure Web Proxy como próximo salto.

Criar uma política do Secure Web Proxy

1. Conclua todas as etapas de pré-requisito necessárias.
2. Crie uma política do Secure Web Proxy.
3. Crie regras do Secure Web Proxy.

Implantar a instância do Secure Web Proxy como próximo salto

Criar rotas para o próximo salto

Depois de criar uma instância do proxy seguro da Web, é possível configurar o roteamento estático ou o roteamento com base na política para o próximo salto:

• As rotas estáticas direcionam o tráfego na sua rede para a instância do Secure Web Proxy na mesma região. Para configurar uma rota estática com o Secure Web Proxy como próximo salto, é necessário configurar tags de rede.
• As rotas com base em políticas permitem direcionar o tráfego para a instância do Proxy seguro da Web de um intervalo de endereços IP de origem. Ao configurar uma rota com base em políticas pela primeira vez, você também precisa configurar outra rota com base em políticas para ser a padrão.

As duas seções a seguir explicam como criar rotas estáticas e rotas baseadas em políticas.

Criar rotas estáticas

Para rotear o tráfego para a instância do Secure Web Proxy, configure uma rota estática com o comando gcloud compute routes create. É necessário associar a rota estática a uma tag de rede e usar a mesma tag de rede em todos os recursos de origem para garantir que o tráfego seja redirecionado para a instância do Secure Web Proxy. As rotas estáticas não permitem definir um intervalo de endereço IP de origem.

Para mais informações sobre como as rotas estáticas funcionam em Google Cloud, consulte Rotas estáticas.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT
 

Criar rotas com base em políticas

Como alternativa ao roteamento estático, é possível configurar uma rota com base na política usando o comando network-connectivity policy-based-routes create. Você também precisa criar uma rota com base em políticas para ser a padrão, o que ativa o roteamento padrão para o tráfego entre instâncias de máquina virtual (VM) na rede. Para mais informações sobre como as rotas com base em políticas funcionam no Google Cloud, consulte Roteamento com base em políticas.

A prioridade da rota que ativa o roteamento padrão precisa ser maior (numericamente menor) do que a prioridade da rota baseada em política que direciona o tráfego para a instância do proxy da Web seguro. Se você criar a rota com base em políticas com uma prioridade mais alta do que a rota que ativa o roteamento padrão, ela terá prioridade sobre todas as outras rotas da VPC.

Use o exemplo a seguir para criar uma rota com base em políticas que direciona o tráfego para a instância do Secure Web Proxy.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT
 

Em seguida, siga as etapas abaixo para criar a rota baseada na política de roteamento padrão.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT
 

Lista de verificação pós-implantação

Conclua as seguintes tarefas depois de configurar uma rota estática ou uma rota com base em políticas com a instância do proxy da Web seguro como próximo salto:

• Confirme se há uma rota padrão para o gateway de Internet.
• Adicione a tag de rede correta à rota estática que aponta para a instância do proxy seguro da Web como o próximo salto.
• Defina uma prioridade adequada para a rota padrão para sua instância do Secure Web Proxy como próximo salto.
• Como o Secure Web Proxy é um serviço regional, verifique se o tráfego do cliente tem origem na mesma região da sua instância do Secure Web Proxy.

Limitações

• As instâncias SecureWebProxy com RoutingMode definido como NEXT_HOP_ROUTING_MODE oferecem suporte a tráfego HTTP(S) e proxy TCP. Outros tipos de tráfego, incluindo o tráfego entre regiões, são descartados sem notificação.
• Quando você usa next-hop-ilb, as limitações que se aplicam aos balanceadores de carga de rede de passagem interna se aplicam aos próximos saltos se o próximo salto de destino for uma instância de proxy da Web seguro. Para mais informações, consulte as tabelas de recursos e próximos saltos para rotas estáticas.