Implantar o Secure Web Proxy como próximo salto

Nesta página, você encontra uma visão geral de como criar uma política do Secure Web Proxy e como configurar o roteamento do próximo salto para sua instância do Secure Web Proxy. Além disso, esta página descreve como configurar o roteamento estático ou o roteamento baseado em políticas para o próximo salto.

Por padrão, as instâncias SecureWebProxy têm um valor RoutingMode de EXPLICIT_ROUTING_MODE. Isso significa que você precisa configurar suas cargas de trabalho para enviar explicitamente o tráfego HTTP(S) ao Secure Web Proxy. Em vez de configurar clientes individuais para apontar para sua instância do Secure Web Proxy, você pode definir o RoutingMode da instância do Secure Web Proxy como NEXT_HOP_ROUTING_MODE, o que permite definir rotas que direcionam o tráfego para sua instância do Secure Web Proxy.

Configurar o roteamento do próximo salto para o Secure Web Proxy

Esta seção descreve as etapas para criar uma política do Secure Web Proxy e o procedimento para implantar sua instância do Secure Web Proxy como próximo salto.

Criar uma política do Secure Web Proxy

  1. Conclua todas as etapas de pré-requisito necessárias.
  2. Crie uma política do Secure Web Proxy.
  3. Criar regras do Secure Web Proxy.

Implantar sua instância do Secure Web Proxy como próximo salto

Console

  1. No console Google Cloud , acesse a página Proxies da Web.

    Acesse proxies da Web

  2. Clique em Criar um proxy da Web seguro.

  3. Insira um nome para o proxy da Web que você quer criar, como myswp.

  4. Insira uma descrição do proxy da Web, como My new swp.

  5. Em Modo de roteamento, selecione a opção Próximo salto.

  6. Na lista Regiões, selecione a região em que você quer criar o proxy da Web.

  7. Na lista Rede, selecione a rede em que você quer criar o proxy da Web.

  8. Na lista Sub-rede, selecione a sub-rede em que você quer criar o proxy da Web.

  9. Opcional: insira o endereço IP do Secure Web Proxy. Você pode inserir um endereço IP do intervalo de endereços IP do proxy da Web seguro que reside na sub-rede criada na etapa anterior. Se você não inserir o endereço IP, sua instância do Secure Web Proxy escolherá automaticamente um endereço IP da sub-rede selecionada.

  10. Na lista Certificado, selecione o certificado que você quer usar para criar o proxy da Web.

  11. Na lista Política, selecione a política criada para associar o proxy da Web.

  12. Clique em Criar.

Cloud Shell

  1. Crie o arquivo gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

  2. Crie uma instância do Secure Web Proxy.

    gcloud network-services gateways import swp1 \
  --source=gateway.yaml \
  --location=REGION

    A implantação de uma instância do proxy seguro da Web pode levar vários minutos.

Criar rotas para o próximo salto

Depois de criar uma instância do proxy seguro da Web, você pode configurar o roteamento estático ou o roteamento com base em políticas para o próximo salto:

  • As rotas estáticas direcionam o tráfego na sua rede para a instância do proxy seguro da Web na mesma região. Para configurar uma rota estática com o Secure Web Proxy como próximo salto, configure tags de rede.
  • Com as rotas com base em políticas, é possível direcionar o tráfego para sua instância do proxy seguro da Web de um intervalo de endereços IP de origem. Ao configurar uma rota com base em políticas pela primeira vez, também é necessário configurar outra rota com base em políticas para ser a rota padrão.

As duas seções a seguir explicam como criar rotas estáticas e com base em políticas.

Criar rotas estáticas

Para rotear o tráfego para sua instância do Secure Web Proxy, configure uma rota estática com o comando gcloud compute routes create. Associe a rota estática a uma tag de rede e use a mesma tag em todos os recursos de origem para garantir que o tráfego deles seja redirecionado para a instância do Secure Web Proxy. Com rotas estáticas, não é possível definir um intervalo de endereços IP de origem.

Para mais informações sobre como as rotas estáticas funcionam no Google Cloud, consulte Rotas estáticas.

gcloud

Use o comando a seguir para criar uma rota estática.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

Substitua:

  • STATIC_ROUTE_NAME: nome da sua rota estática
  • NETWORK_NAME: nome da rede
  • SWP_IP: endereço IP da instância SecureWebProxy
  • DESTINATION_RANGE: intervalo de endereços IP para onde você quer redirecionar o tráfego.
  • PRIORITY: prioridade da sua rota. Números mais altos indicam uma prioridade menor.
  • TAGS: lista separada por vírgulas de tags que você criou para sua instância do Secure Web Proxy
  • PROJECT: ID do projeto

Criar rotas com base em políticas

Como alternativa ao roteamento estático, você pode configurar uma rota com base em política usando o comando network-connectivity policy-based-routes create. Também é necessário criar uma rota com base em políticas para ser a rota padrão, o que ativa o roteamento padrão para o tráfego entre instâncias de máquina virtual (VM) na sua rede. Para mais informações sobre como as rotas com base em políticas funcionam no Google Cloud, consulte Roteamento com base em políticas.

A prioridade da rota que ativa o roteamento padrão precisa ser maior (numericamente menor) do que a prioridade da rota baseada em política que direciona o tráfego para a instância do proxy da Web seguro. Se você criar a rota com base em políticas com uma prioridade mais alta do que a rota que ativa o roteamento padrão, ela terá prioridade sobre todas as outras rotas da VPC.

Use o exemplo a seguir para criar uma rota com base em políticas que direciona o tráfego para sua instância do Secure Web Proxy.

gcloud

Use o comando a seguir para criar a rota com base em políticas.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

Substitua:

  • POLICY_BASED_ROUTE_NAME: nome da sua rota com base em políticas
  • NETWORK_NAME: nome da rede
  • SWP_IP: endereço IP da sua instância do Secure Web Proxy
  • DESTINATION_RANGE: intervalo de endereços IP para onde você quer redirecionar o tráfego.
  • SOURCE_RANGE: intervalo de endereços IP de onde você quer redirecionar o tráfego.
  • PROJECT: ID do projeto

Em seguida, siga estas etapas para criar a rota padrão baseada em política.

gcloud

Use o comando a seguir para criar a rota padrão com base em políticas.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

Substitua:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: nome da rota com base em políticas
  • NETWORK_NAME: nome da rede
  • DESTINATION_RANGE: intervalo de endereços IP para onde você quer redirecionar o tráfego.
  • SOURCE_RANGE: intervalo de endereços IP de onde você quer redirecionar o tráfego.
  • PROJECT: ID do projeto

Lista de verificação pós-implantação

Conclua as seguintes tarefas depois de configurar uma rota estática ou uma rota baseada em política com sua instância do Secure Web Proxy como próximo salto:

  • Confirme se há uma rota padrão para o gateway de Internet.
  • Adicione a tag de rede correta à rota estática que aponta para sua instância do proxy seguro da Web como o próximo salto.
  • Defina uma prioridade adequada para a rota padrão da sua instância do proxy seguro da Web como próximo salto.
  • Como o Secure Web Proxy é um serviço regional, verifique se o tráfego do cliente se origina na mesma região que a instância do Secure Web Proxy.

Limitações

  • As instâncias SecureWebProxy com RoutingMode definido como NEXT_HOP_ROUTING_MODE são compatíveis com o tráfego de proxy HTTP(S) e TCP. Outros tipos de tráfego, incluindo o tráfego entre regiões, são descartados sem notificação.
  • Quando você usa next-hop-ilb, as limitações que se aplicam aos balanceadores de carga de rede de passagem interna também se aplicam aos próximos saltos se o próximo salto de destino for uma instância do Secure Web Proxy. Para mais informações, consulte as tabelas de próximos saltos e recursos para rotas estáticas.
  • Todo o tráfego das máquinas virtuais (VMs), incluindo tráfego e atualizações em segundo plano, que sua rota de próximo salto corresponder será encaminhado para a instância do Secure Web Proxy.
  • Para uma rede VPC em uma região, é possível implantar apenas uma instância do Secure Web Proxy como próximo salto (SWPaNH).