Implementar un proxy web seguro como siguiente paso

Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Esta página ofrece una descripción general de cómo crear una política de proxy web seguro y explica cómo configurar el enrutamiento de próximo salto para su instancia. Además, describe cómo configurar el enrutamiento estático o basado en políticas para su próximo salto.

De forma predeterminada, las instancias SecureWebProxy tienen un valor de RoutingMode de EXPLICIT_ROUTING_MODE , lo que significa que debe configurar sus cargas de trabajo para enviar explícitamente tráfico HTTP(S) a Secure Web Proxy. En lugar de configurar clientes individuales para que apunten a su instancia de Secure Web Proxy, puede establecer RoutingMode de su instancia de Secure Web Proxy como NEXT_HOP_ROUTING_MODE , lo que le permite definir rutas que dirigen el tráfico a su instancia de Secure Web Proxy.

Configurar el enrutamiento del siguiente salto para el proxy web seguro

Esta sección describe los pasos para crear una política de proxy web seguro y el procedimiento para implementar su instancia de proxy web seguro como próximo salto .

Crear una política de proxy web seguro

1. Complete todos los pasos previos requeridos .
2. Crear una política de proxy web seguro .
3. Crear reglas de proxy web seguro .

Implemente su instancia de proxy web seguro como próximo salto

Crear rutas para el próximo salto

Después de haber creado una instancia de proxy web seguro, puede configurar el enrutamiento estático o el enrutamiento basado en políticas para su próximo salto:

• Las rutas estáticas dirigen el tráfico dentro de su red a su instancia de Proxy Web Seguro en la misma región. Para configurar una ruta estática con su Proxy Web Seguro como próximo salto, debe configurar las etiquetas de red .
• Las rutas basadas en políticas permiten dirigir el tráfico a su instancia de Secure Web Proxy desde un rango de direcciones IP de origen. Al configurar una ruta basada en políticas por primera vez, también debe configurar otra ruta basada en políticas como ruta predeterminada.

Las siguientes dos secciones explican cómo crear rutas estáticas y rutas basadas en políticas.

Crear rutas estáticas

Para dirigir el tráfico a su instancia de Secure Web Proxy, configure una ruta estática con el comando gcloud compute routes create . Debe asociar la ruta estática con una etiqueta de red y usar la misma etiqueta de red en todos los recursos de origen para garantizar que el tráfico se redirija a su instancia de Secure Web Proxy. Las rutas estáticas no permiten definir un rango de direcciones IP de origen.

Para obtener más información sobre cómo funcionan las rutas estáticas en Google Cloud, consulte Rutas estáticas .

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT
 

Crear rutas basadas en políticas

Como alternativa al enrutamiento estático, puede configurar una ruta basada en políticas mediante el comando network-connectivity policy-based-routes create . También debe crear una ruta basada en políticas como ruta predeterminada, lo que habilita el enrutamiento predeterminado para el tráfico entre instancias de máquinas virtuales (VM) dentro de su red. Para obtener más información sobre el funcionamiento de las rutas basadas en políticas enGoogle Cloud, consulte Enrutamiento basado en políticas .

La prioridad de la ruta que habilita el enrutamiento predeterminado debe ser mayor (numéricamente menor) que la prioridad de la ruta basada en políticas que dirige el tráfico a la instancia de Secure Web Proxy. Si crea la ruta basada en políticas con una prioridad mayor que la ruta que habilita el enrutamiento predeterminado, tendrá prioridad sobre todas las demás rutas de VPC.

Utilice el siguiente ejemplo para crear una ruta basada en políticas que dirija el tráfico a su instancia de Secure Web Proxy.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT
 

A continuación, utilice los siguientes pasos para crear la ruta basada en la política de enrutamiento predeterminada.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT
 

Lista de verificación posterior a la implementación

Asegúrese de completar las siguientes tareas después de configurar una ruta estática o una ruta basada en políticas con su instancia de Secure Web Proxy como próximo salto:

• Confirme que exista una ruta predeterminada a la puerta de enlace de Internet .
• Agregue la etiqueta de red correcta a la ruta estática que apunta a su instancia de Secure Web Proxy como próximo salto.
• Defina una prioridad adecuada para la ruta predeterminada a su instancia de Secure Web Proxy como próximo salto.
• Dado que Secure Web Proxy es un servicio regional, asegúrese de que el tráfico del cliente se origine en la misma región que su instancia de Secure Web Proxy.

Limitaciones

• Las instancias SecureWebProxy con RoutingMode definido como NEXT_HOP_ROUTING_MODE admiten tráfico proxy HTTP(S) y TCP. Otros tipos de tráfico, incluido el tráfico entre regiones, se descartan sin notificación.
• Al usar next-hop-ilb , las limitaciones que se aplican a los balanceadores de carga de red de paso interno se aplican a los próximos saltos si el próximo salto de destino es una instancia de proxy web seguro. Para obtener más información, consulte las tablas de próximos saltos y características para rutas estáticas .