以 Secure Web Proxy 做為下一個躍點

本頁面將概略說明如何建立 Secure Web Proxy 政策,接著說明如何為 Secure Web Proxy 執行個體設定下一跳路由。此外,本頁面說明如何為下一跳設定靜態轉送依政策轉送

根據預設,SecureWebProxy 執行個體的 RoutingMode 值為 EXPLICIT_ROUTING_MODE,這表示您必須設定工作負載,才能明確將 HTTP(S) 流量傳送至安全網頁 Proxy。您可以將 Secure Web Proxy 例項的 RoutingMode 設為 NEXT_HOP_ROUTING_MODE,這樣就不必將個別用戶端設為指向 Secure Web Proxy 例項,而是定義將流量導向 Secure Web Proxy 例項的路徑。

設定 Secure Web Proxy 的下一個躍點路由

本節將說明建立 Secure Web Proxy 政策的步驟,以及將 Secure Web Proxy 執行個體部署為下一個中繼的程序。

建立 Secure Web Proxy 政策

  1. 完成所有必要的先決步驟
  2. 建立 Secure Web Proxy 政策
  3. 建立 Secure Web Proxy 規則

將 Secure Web Proxy 執行個體部署為下一個躍點

主控台

  1. 前往 Google Cloud 控制台的「Web Proxies」頁面。

    前往「網路 Proxy」

  2. 按一下 「建立安全無虞的網路 Proxy」

  3. 輸入要建立的網路 Proxy 名稱,例如 myswp

  4. 輸入網頁 Proxy 的說明,例如 My new swp

  5. 針對「轉送模式」,選取「下一個躍點」選項。

  6. 在「區域」清單中,選取要建立網路 Proxy 的區域。

  7. 在「Network」清單中,選取要建立網路 Proxy 的網路。

  8. 在「Subnetwork」(子網路) 清單中,選取要建立網路 Proxy 的子網路。

  9. 選用步驟:輸入 Secure Web Proxy IP 位址。您可以從先前步驟中建立的子網路中,輸入安全網路 Proxy IP 位址範圍的 IP 位址。如果您未輸入 IP 位址,安全 Web Proxy 例項會自動從所選子網路中選擇 IP 位址。

  10. 在「憑證」清單中,選取要用來建立網路 Proxy 的憑證。

  11. 在「Policy」清單中,選取您建立的政策,以便與網路 Proxy 建立關聯。

  12. 按一下 [建立]。

Cloud Shell

  1. 建立 gateway.yaml 檔案。

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

  2. 建立 Secure Web Proxy 執行個體。

    gcloud network-services gateways import swp1 \
  --source=gateway.yaml \
  --location=REGION

    部署 Secure Web Proxy 執行個體可能需要幾分鐘的時間。

建立下一個躍點的路徑

建立 Secure Web Proxy 執行個體後,您可以為下一個躍點設定靜態路徑以政策為準的路徑

  • 靜態路由會將網路內的流量導向位於同一地區的 Secure Web Proxy 執行個體。如要設定靜態路徑,並將安全網頁 Proxy 做為下一個躍點,您必須設定網路代碼
  • 您可以使用政策為依據的路徑,將來自來源 IP 位址範圍的流量導向 Secure Web Proxy 執行個體。首次設定政策路徑時,您必須將另一個政策路徑設為預設路徑。

以下兩節說明如何建立靜態路徑和政策式路徑。

建立靜態路徑

如要將流量轉送至 Secure Web Proxy 執行個體,請使用 gcloud compute routes create 指令設定靜態路徑。您必須將靜態路由與網路標記建立關聯,並在所有來源資源上使用相同的網路標記,以確保這些資源的流量會重新導向至 Secure Web Proxy 執行個體。靜態路徑無法讓您定義來源 IP 位址範圍。

如要進一步瞭解靜態路徑在 Google Cloud中的運作方式,請參閱「靜態路徑」。

gcloud

使用下列指令建立靜態路徑。

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

更改下列內容:

  • STATIC_ROUTE_NAME:靜態路徑的名稱
  • NETWORK_NAME:網路名稱
  • SWP_IPSecureWebProxy 執行個體的 IP 位址
  • DESTINATION_RANGE:您要將流量重新導向至的 IP 位址範圍
  • PRIORITY:路徑的優先順序;數字越大,優先順序越低
  • TAGS:您為 Secure Web Proxy 例項建立的標記清單,以逗號分隔
  • PROJECT:專案 ID

建立策略路徑

您可以使用 network-connectivity policy-based-routes create 指令設定政策路徑,做為靜態路徑的替代方案。您還需要建立以政策為基礎的路徑做為預設路徑,這樣網路內的虛擬機器 (VM) 執行個體之間的流量才能啟用預設轉送。如要進一步瞭解Google Cloud中依據政策的路由運作方式,請參閱「依據政策的轉送」。

啟用預設轉送的路徑優先順序必須高於 (數字較低) 將流量導向安全網頁 Proxy 執行個體的政策型路徑優先順序。如果您建立的策略路由優先順序高於啟用預設路由的路由,則該路由的優先順序會高於所有其他 VPC 路由。

請參考下列範例,建立可將流量導向 Secure Web Proxy 執行個體的政策路徑。

gcloud

使用下列指令建立政策路線。

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

更改下列內容:

  • POLICY_BASED_ROUTE_NAME:以政策為準的路徑名稱
  • NETWORK_NAME:網路名稱
  • SWP_IP:Secure Web Proxy 執行個體的 IP 位址
  • DESTINATION_RANGE:您要將流量重新導向至的 IP 位址範圍
  • SOURCE_RANGE:您要將流量重新導向的 IP 位址範圍
  • PROJECT:專案 ID

接著,請按照下列步驟建立預設路由政策路徑。

gcloud

使用下列指令建立以預設路由政策為準的路徑。

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

更改下列內容:

  • DEFAULT_POLICY_BASED_ROUTE_NAME:以政策為依據的路徑名稱
  • NETWORK_NAME:網路名稱
  • DESTINATION_RANGE:您要將流量重新導向至的 IP 位址範圍
  • SOURCE_RANGE:您要將流量重新導向的 IP 位址範圍
  • PROJECT:專案 ID

部署後檢查清單

請務必在設定靜態路徑以政策為準的路徑時,將安全 Web Proxy 執行個體設為下一個躍點,並完成下列工作:

  • 確認預設的網際網路閘道路徑
  • 將正確的網路代碼新增至將 Secure Web Proxy 執行個體設為下一個躍點的靜態路徑。
  • 為 Secure Web Proxy 執行個體的預設路徑定義適當的優先順序,做為下一個躍點。
  • 由於 Secure Web Proxy 是區域性服務,請確認用戶端流量來自與 Secure Web Proxy 執行個體相同的區域。

限制

  • SecureWebProxy 執行個體如果將 RoutingMode 設為 NEXT_HOP_ROUTING_MODE,就會支援 HTTP(S) 和 TCP Proxy 流量。其他類型的流量 (包括跨區域流量) 會在未通知的情況下遭到捨棄。
  • 使用 next-hop-ilb 時,如果目的地下一個躍點是安全網頁 Proxy 執行個體,則內部直通式網路負載平衡器的限制會套用至下一個躍點。詳情請參閱靜態路徑的下一個躍點和功能表。
  • 虛擬機器 (VM) 的所有流量 (包括背景流量和更新),只要符合下一個躍點路徑,就會轉送至安全網路 Proxy 執行個體。