Para centralizar a implantação do proxy seguro da Web quando houver várias redes, adicione o proxy seguro da Web como um anexo de serviço do Private Service Connect.
É possível implantar o Secure Web Proxy como um Private Service Connect anexo de serviço da seguinte forma:
- Adicionar o Secure Web Proxy como um serviço do Private Service Connect no lado do produtor de um Private Service Connect uma conexão com a Internet.
- Criar um endpoint do consumidor do Private Service Connect em cada que precisa ser conectada à rede VPC Anexo do serviço Private Service Connect.
- Aponte o tráfego de saída da carga de trabalho para o proxy seguro da Web centralizado na região e aplique políticas a esse tráfego.
Implantar o proxy seguro da Web como um anexo de serviço do Private Service Connect usando um modelo de hub e spoke
Console
Implantar o Secure Web Proxy como um anexo de serviço na central (Hub) de nuvem privada virtual (VPC).
Para mais informações, consulte Publicar serviços usando o Private Service Connect.
Aponte a carga de trabalho de origem para o Secure Web Proxy criando uma endpoint do Private Service Connect Rede VPC que inclui a carga de trabalho.
Para mais informações, consulte Crie um endpoint.
Crie uma política com uma regra que permita o tráfego da carga de trabalho (identificada pelo endereço IP de origem) para um destino específico (por exemplo, example.com).
Crie uma política com uma regra que bloqueie o tráfego da carga de trabalho (identificada pelo endereço IP de origem) para um destino específico (por exemplo, altostrat.com).
Para mais informações, consulte Crie uma política do Secure Web Proxy.
gcloud
Implante o proxy seguro da Web como um anexo de serviço na rede VPC central (hub).
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \ --target-service=SWP_INSTANCE \ --connection-preference ACCEPT_AUTOMATIC \ --nat-subnets NAT_SUBNET_NAME \ --region REGION \ --project PROJECT
Substitua:
SERVICE_ATTACHMENT_NAM
: o nome do anexo de serviçoSWP_INSTANCE
: o URL para acessar o Instância do Secure Web ProxyNAT_SUBNET_NAME
: o nome do Cloud NAT sub-redeREGION
: a região do Secure Web Proxy. implantaçãoPROJECT
: o projeto da implantação.
Crie um endpoint do Private Service Connect na rede VPC que inclui a carga de trabalho.
gcloud compute forwarding-rules create ENDPOINT_NAME \ --region REGION \ --target-service-attachment=SERVICE_ATTACHMENT_NAME \ --project PROJECT \ --network NETWORK \ --subnet SUBNET \ --address= ADDRESS
Substitua:
ENDPOINT_NAM
: o nome do endpoint do Private Service ConnectREGION
: a região do Secure Web Proxy. implantaçãoSERVICE_ATTACHMENT_NAME
: o nome do anexo de serviço criado anteriormentePROJECT
: o projeto da implantação.NETWORK
: a rede VPC. no qual o endpoint é criadoSUBNET
: a sub-rede da implantaçãoADDRESS
: o endereço do endpoint.
Aponte a carga de trabalho para o Proxy seguro da Web usando uma variável de proxy.
Crie uma política com uma regra que permita o tráfego da carga de trabalho (identificada pelo endereço IP de origem) para um destino específico (por exemplo, example.com).
Crie uma política com uma regra que bloqueie o tráfego da carga de trabalho (identificada pelo endereço IP de origem) para um destino específico (por exemplo, altostrat.com).
A seguir
- Configurar a inspeção de TLS
- Usar tags para criar políticas
- Atribuir endereços IP estáticos para o tráfego de saída
- Outras considerações sobre o modo de anexo do serviço Private Service Connect