פריסת Secure Web Proxy כצעד הבא

בדף הזה מוסבר איך ליצור מדיניות של Secure Web Proxy ואיך להגדיר ניתוב של השלב הבא עבור מופע Secure Web Proxy. בנוסף, בדף הזה מוסבר איך להגדיר ניתוב סטטי או ניתוב על סמך מדיניות עבור הצעד הבא.

כברירת מחדל, למופעי SecureWebProxy יש ערך RoutingMode של EXPLICIT_ROUTING_MODE, כלומר צריך להגדיר את עומסי העבודה כך שישלחו תנועת HTTP(S) באופן מפורש ל-Secure Web Proxy. במקום להגדיר לקוחות פרטניים שיצביעו על מופע Secure Web Proxy, אפשר להגדיר את RoutingMode של מופע Secure Web Proxy כ-NEXT_HOP_ROUTING_MODE, וכך להגדיר נתיבים שמפנים תנועה למופע Secure Web Proxy.

כשמפעילים את המופע של Secure Web Proxy כנקודת הקפיצה הבאה, אפשר להגדיר את השער להאזנה בכל היציאות (מ-1 עד 65535), וכך לפשט את ההגדרה בסביבות דינמיות או בשירותים שמשתמשים בכמה יציאות.

הגדרה של ניתוב קפיצה הבאה ל-Secure Web Proxy

בקטע הזה מוסבר איך יוצרים מדיניות Secure Web Proxy ואיך פורסים את מופע Secure Web Proxy כנקודת מעבר.

יצירת מדיניות Secure Web Proxy

  1. משלימים את כל השלבים הנדרשים.
  2. יצירת מדיניות Secure Web Proxy
  3. יצירת כללים של Secure Web Proxy

פריסת מופע Secure Web Proxy כצעד הבא

המסוף

  1. נכנסים לדף Web Proxies במסוף Google Cloud .

    מעבר ל-Web Proxies

  2. לוחצים על יצירת שרת proxy מאובטח לאינטרנט.

  3. מזינים שם לשרת ה-proxy לאינטרנט שרוצים ליצור, למשל myswp.

  4. מזינים תיאור של שרת ה-Proxy לאינטרנט, למשל My new swp.

  5. בקטע מצב ניתוב, בוחרים באפשרות הניתוב הבא.

  6. ברשימה Regions, בוחרים את האזור שבו רוצים ליצור את שרת ה-proxy לאינטרנט.

  7. ברשימה רשת, בוחרים את הרשת שבה רוצים ליצור את שרת ה-proxy לאינטרנט.

  8. ברשימה Subnetwork, בוחרים את רשת המשנה שבה רוצים ליצור את שרת ה-proxy לאינטרנט.

  9. אופציונלי: מזינים את כתובת ה-IP של Secure Web Proxy. אפשר להזין כתובת IP מתוך טווח כתובות ה-IP של Secure Web Proxy שנמצאות ברשת המשנה שיצרתם בשלב הקודם. אם לא תזינו את כתובת ה-IP, המופע של Secure Web Proxy יבחר באופן אוטומטי כתובת IP מתוך תת-הרשת שנבחרה.

  10. ברשימה Certificate, בוחרים את האישור שרוצים להשתמש בו כדי ליצור את פרוקסי האינטרנט.

  11. ברשימה Policy, בוחרים את המדיניות שיצרתם כדי לשייך אליה את פרוקסי האינטרנט.

  12. לוחצים על יצירה.

Cloud Shell

  1. יוצרים את קובץ ה-gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443, 80]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

    אופציונלי: כדי להגדיר את השער להאזנה בכל היציאות (מ-1 עד 65535), מוסיפים את השדה all_ports בקובץ gateway.yaml ומגדירים אותו ל-true. התכונה הזו נתמכת בגרסת טרום-השקה.

    מידע על המגבלות שקשורות לשימוש בתכונה all_ports זמין במאמר מגבלות.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
all_ports: true
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

  2. יוצרים מכונה של Secure Web Proxy.

    gcloud network-services gateways import swp1 \
  --source=gateway.yaml \
  --location=REGION

    פריסת מופע של Secure Web Proxy יכולה להימשך כמה דקות.

יצירת מסלולים לקפיצה הבאה

אחרי שיוצרים מופע של Secure Web Proxy, אפשר להגדיר ניתוב סטטי או ניתוב על סמך מדיניות לקפיצה הבאה:

  • מסלולים סטטיים מכוונים את התנועה בתוך הרשת שלכם למופע של Secure Web Proxy באותו אזור. כדי להגדיר נתיב סטטי עם Secure Web Proxy כנקודת הניתוב הבאה, צריך להגדיר תגי רשת.
  • מסלולים מבוססי-מדיניות מאפשרים לכם להפנות תנועה למופע של Secure Web Proxy מטווח כתובות IP של מקור. כשמגדירים נתיב מבוסס-מדיניות בפעם הראשונה, צריך להגדיר גם נתיב מבוסס-מדיניות אחר שיהיה נתיב ברירת המחדל.

בקטעים הבאים מוסבר איך ליצור מסלולים סטטיים ומסלולים מבוססי-מדיניות.

יצירת מסלולים סטטיים

כדי להפנות תנועה למופע של Secure Web Proxy, מגדירים נתיב סטטי באמצעות הפקודה gcloud compute routes create. צריך לשייך את המסלול הסטטי לתג רשת, ולהשתמש באותו תג רשת בכל משאבי המקור כדי לוודא שהתנועה שלהם מנותבת מחדש למופע של Secure Web Proxy. במסלולים סטטיים אי אפשר להגדיר טווח כתובות IP של מקור.

מידע נוסף על אופן הפעולה של מסלולים סטטיים ב- Google Cloudזמין במאמר בנושא מסלולים סטטיים.

gcloud

כדי ליצור נתיב סטטי, משתמשים בפקודה הבאה.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

מחליפים את מה שכתוב בשדות הבאים:

  • STATIC_ROUTE_NAME: השם של המסלול הסטטי
  • NETWORK_NAME: השם של הרשת
  • SWP_IP: כתובת ה-IP של מופע SecureWebProxy ברשת המשנה שצוינה בקובץ gateway.yaml
  • DESTINATION_RANGE: טווח כתובות ה-IP שאליו רוצים להפנות את התנועה. לדוגמה, אפשר להשתמש ב-0.0.0.0/0 כדי להפנות את כל התנועה באינטרנט למופע של Secure Web Proxy
  • PRIORITY: העדיפות של המסלול. מספרים גבוהים יותר מציינים עדיפות נמוכה יותר. מוודאים שהעדיפות של המסלול נמוכה יותר מבחינה מספרית מהמסלול לאינטרנט שמוגדר כברירת מחדל, שבדרך כלל הוא 1000
  • TAGS: רשימה מופרדת בפסיקים של תגים שתשתמשו בהם עם מופע Secure Web Proxy
  • PROJECT: מזהה הפרויקט

יצירת מכונה וירטואלית ברשת המשנה המתאימה עם תגי רשת שצוינו בנתיב

gcloud compute instances create swp-nexthop-test-vm \
    --subnet=SUBNETWORK \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11 \
    --tags=TAGS

מחליפים את מה שכתוב בשדות הבאים:

  • SUBNETWORK: רשת המשנה שהגדרתם עבור פרוקסי האינטרנט
  • ZONE: האזור של מופע המכונה הווירטואלית לבדיקה
  • TAGS: רשימה מופרדת בפסיקים של תגים שתשתמשו בהם עם מופע Secure Web Proxy

יצירת מסלולים על סמך מדיניות

במקום ניתוב סטטי, אפשר להגדיר ניתוב על סמך מדיניות באמצעות הפקודה network-connectivity policy-based-routes create. צריך גם ליצור ניתוב מבוסס-מדיניות שיהיה ניתוב ברירת המחדל, כדי לאפשר ניתוב ברירת מחדל לתעבורה בין מכונות וירטואליות (VM) ברשת. מידע נוסף על אופן הפעולה של מסלולים מבוססי-מדיניות ב-Google Cloudזמין במאמר ניתוב על סמך מדיניות.

העדיפות של המסלול שמאפשר ניתוב ברירת מחדל צריכה להיות גבוהה יותר (מספר נמוך יותר) מהעדיפות של המסלול שמבוסס על מדיניות ומפנה תנועה למופע של Secure Web Proxy. אם יוצרים את הנתיב שמבוסס על מדיניות בעדיפות גבוהה יותר מהנתיב שמאפשר ניתוב ברירת מחדל, הוא מקבל עדיפות על פני כל הנתיבים האחרים ב-VPC.

אפשר להשתמש בדוגמה הבאה כדי ליצור ניתוב מבוסס-מדיניות שמפנה תנועה למופע של Secure Web Proxy.

gcloud

משתמשים בפקודה הבאה כדי ליצור את המסלול שמבוסס על מדיניות.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

מחליפים את מה שכתוב בשדות הבאים:

  • POLICY_BASED_ROUTE_NAME: השם של ניתוב מבוסס-מדיניות
  • NETWORK_NAME: השם של הרשת
  • SWP_IP: כתובת ה-IP של מופע Secure Web Proxy
  • DESTINATION_RANGE: טווח כתובות ה-IP שאליו רוצים להפנות את התנועה
  • SOURCE_RANGE: טווח כתובות ה-IP שמהן רוצים להפנות את התנועה
  • PROJECT: מזהה הפרויקט

בשלב הבא, פועלים לפי השלבים הבאים כדי ליצור את המסלול שמוגדר כברירת מחדל על סמך מדיניות הניתוב.

gcloud

משתמשים בפקודה הבאה כדי ליצור את מסלול ברירת המחדל של ניתוב מבוסס-מדיניות.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

מחליפים את מה שכתוב בשדות הבאים:

  • DEFAULT_POLICY_BASED_ROUTE_NAME: השם של ניתוב מבוסס-מדיניות
  • NETWORK_NAME: השם של הרשת
  • DESTINATION_RANGE: טווח כתובות ה-IP שאליו רוצים להפנות את התנועה
  • SOURCE_RANGE: טווח כתובות ה-IP שמהן רוצים להפנות את התנועה
  • PROJECT: מזהה הפרויקט

רשימת משימות אחרי הפריסה

אחרי שמגדירים ניתוב סטטי או ניתוב מבוסס-מדיניות עם מופע Secure Web Proxy כנקודת הניתוב הבאה, חשוב לבצע את המשימות הבאות:

  • מוודאים שיש נתיב ברירת מחדל לשער האינטרנט.
  • מוסיפים את תג הרשת הנכון למסלול הסטטי שמפנה למופע של Secure Web Proxy כאל הצעד הבא.
  • מגדירים עדיפות מתאימה לנתיב ברירת המחדל למופע Secure Web Proxy בתור הצעד הבא.
  • מכיוון ש-Secure Web Proxy הוא שירות אזורי, צריך לוודא שתעבורת הלקוח מגיעה מאותו אזור שבו נמצא מופע Secure Web Proxy.

מגבלות

  • מכונות SecureWebProxy עם RoutingMode שמוגדר כ-NEXT_HOP_ROUTING_MODE תומכות בתעבורת נתונים של HTTP(S) ו-TCP Proxy. סוגים אחרים של תנועה, כולל תנועה בין אזורים, נחסמים ללא התראה.
  • כשמשתמשים ב-next-hop-ilb, המגבלות שחלות על מאזני עומסי רשת פנימיים להעברת סיגנל ללא שינוי חלות על הצעדים הבאים אם הצעד הבא של היעד הוא מכונת Secure Web Proxy. מידע נוסף מופיע בטבלאות של קפיצות ושל תכונות עבור מסלולים סטטיים.
  • כל התנועה מהמכונות הווירטואליות (VM), כולל תנועה ועדכונים ברקע, שתואמים לנתיב הקפיצה הבא, תנותב למופע של Secure Web Proxy.
  • ברשת VPC באזור מסוים, אפשר לפרוס רק מופע אחד של Secure Web Proxy כצעד הבא (SWPaNH).
  • כשמשתמשים בתכונה all_ports, חלות המגבלות הבאות:
    • התכונה all_ports רלוונטית רק לשערי תשלום עם type: SECURE_WEB_GATEWAY.
    • אפשר להשתמש בהגדרת all_ports: true רק כשroutingMode מוגדר לערך NEXT_HOP_ROUTING_MODE.
    • אי אפשר לציין גם את ההגדרה all_ports: true וגם רשימה של יציאות נפרדות בשדה היציאות של אותו משאב שער. חובה להשתמש רק בסוג אחד של הגדרת יציאה, ולא בשניהם.
    • ברשת ובאזור נתונים מסוימים, אי אפשר לפרוס בו-זמנית מופע אחד של Secure Web Proxy במצב next hop עם ההגדרה all_ports: true ומופע אחר של Secure Web Proxy בכל מצב אחר.