보안 웹 프록시를 다음 홉으로 배포

이 페이지에서는 보안 웹 프록시 정책을 만드는 방법을 간략히 설명한 후 보안 웹 프록시 인스턴스에 다음 홉 라우팅을 구성하는 방법을 설명합니다. 또한 이 페이지에서는 다음 홉에 정적 라우팅 또는 정책 기반 라우팅을 구성하는 방법을 설명합니다.

기본적으로 SecureWebProxy 인스턴스의 RoutingMode 값은 EXPLICIT_ROUTING_MODE입니다. 즉, HTTP(S) 트래픽을 보안 웹 프록시에 명시적으로 전송하도록 워크로드를 구성해야 합니다. 보안 웹 프록시 인스턴스로 전달하도록 개별 클라이언트를 구성하는 대신 보안 웹 프록시 인스턴스의 RoutingModeNEXT_HOP_ROUTING_MODE로 설정하면 됩니다. 그러면 보안 웹 프록시 인스턴스로 트래픽을 전달하는 경로를 정의할 수 있습니다.

보안 웹 프록시의 다음 홉 라우팅 구성

이 섹션에서는 보안 웹 프록시 정책을 만드는 단계보안 웹 프록시 인스턴스를 다음 홉으로 배포하는 절차를 설명합니다.

보안 웹 프록시 정책 만들기

  1. 필요한 모든 기본 요건 단계를 완료합니다.
  2. 보안 웹 프록시 정책을 만듭니다.
  3. 보안 웹 프록시 규칙 만들기

보안 웹 프록시 인스턴스를 다음 홉으로 배포

콘솔

  1. Google Cloud 콘솔에서 웹 프록시 페이지로 이동합니다.

    웹 프록시로 이동

  2. 보안 웹 프록시 만들기를 클릭합니다.

  3. 만들려는 웹 프록시의 이름(예: myswp)을 입력합니다.

  4. 웹 프록시에 대한 설명(예: My new swp)을 입력합니다.

  5. 라우팅 모드에서 다음 홉 옵션을 선택합니다.

  6. 리전 목록에서 웹 프록시를 만들 리전을 선택합니다.

  7. 네트워크 목록에서 웹 프록시를 만들 네트워크를 선택합니다.

  8. 서브네트워크 목록에서 웹 프록시를 만들 서브네트워크를 선택합니다.

  9. 선택사항: 보안 웹 프록시 IP 주소를 입력합니다. 이전 단계에서 만든 서브넷에 있는 보안 웹 프록시 IP 주소 범위에서 IP 주소를 입력할 수 있습니다. IP 주소를 입력하지 않으면 보안 웹 프록시 인스턴스가 선택한 서브네트워크에서 IP 주소를 자동으로 선택합니다.

  10. 인증서 목록에서 웹 프록시를 만드는 데 사용할 인증서를 선택합니다.

  11. 정책 목록에서 웹 프록시를 연결하기 위해 만든 정책을 선택합니다.

  12. 만들기를 클릭합니다.

Cloud Shell

  1. gateway.yaml 파일을 생성합니다.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

  2. 보안 웹 프록시 인스턴스를 만듭니다.

    gcloud network-services gateways import swp1 \
  --source=gateway.yaml \
  --location=REGION

    보안 웹 프록시 인스턴스를 배포하는 데 몇 분 정도 걸릴 수 있습니다.

다음 홉의 경로 만들기

보안 웹 프록시 인스턴스를 만든 후 다음 홉에 정적 라우팅 또는 정책 기반 라우팅을 구성할 수 있습니다.

  • 정적 경로는 네트워크 내 트래픽을 동일한 리전의 보안 웹 프록시 인스턴스로 전달합니다. 보안 웹 프록시를 다음 홉으로 사용하는 정적 경로를 설정하려면 네트워크 태그를 구성해야 합니다.
  • 정책 기반 경로를 사용하면 소스 IP 주소 범위에서 보안 웹 프록시 인스턴스로 트래픽을 전달할 수 있습니다. 또한 정책 기반 경로를 처음으로 구성할 때는 다른 정책 기반 경로를 기본 경로로 구성해야 합니다.

다음 두 섹션에서는 정적 경로와 정책 기반 경로를 만드는 방법을 설명합니다.

정적 경로 만들기

보안 웹 프록시 인스턴스로 트래픽을 라우팅하려면 gcloud compute routes create 명령어로 정적 경로를 설정합니다. 정적 경로를 네트워크 태그와 연결하고 모든 소스 리소스에 동일한 네트워크 태그를 사용하여 트래픽이 보안 웹 프록시 인스턴스로 리디렉션되도록 해야 합니다. 정적 경로는 소스 IP 주소 범위를 정의할 수 없습니다.

Google Cloud에서 정적 경로가 작동하는 방식에 관한 자세한 내용은 정적 경로를 참고하세요.

gcloud

다음 명령어를 사용하여 정적 경로를 만듭니다.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

다음을 바꿉니다.

  • STATIC_ROUTE_NAME: 정적 경로의 이름
  • NETWORK_NAME: 네트워크 이름
  • SWP_IP: SecureWebProxy 인스턴스의 IP 주소
  • DESTINATION_RANGE: 트래픽을 리디렉션할 IP 주소 범위
  • PRIORITY: 경로의 우선순위. 숫자가 클수록 우선순위가 낮습니다.
  • TAGS: 보안 웹 프록시 인스턴스용으로 만든 태그의 쉼표로 구분된 목록
  • PROJECT: 프로젝트 ID

정책 기반 경로 만들기

정적 라우팅 대신 network-connectivity policy-based-routes create 명령어를 사용하여 정책 기반 경로를 설정할 수 있습니다. 또한 정책 기반 경로를 기본 경로로 만들어야 합니다. 그러면 네트워크 내 가상 머신 (VM) 인스턴스 간의 트래픽에 기본 라우팅이 사용 설정됩니다.Google Cloud에서 정책 기반 경로가 작동하는 방식에 관한 자세한 내용은 정책 기반 라우팅을 참고하세요.

기본 라우팅을 사용 설정하는 경로의 우선순위는 트래픽을 보안 웹 프록시 인스턴스로 전달하는 정책 기반 경로의 우선순위보다 높아야 합니다(숫자가 더 낮아야 함). 기본 라우팅을 사용 설정하는 경로보다 우선순위가 높은 정책 기반 경로를 만들면 이 경로가 다른 모든 VPC 경로보다 우선 적용됩니다.

다음 예를 사용하여 트래픽을 보안 웹 프록시 인스턴스로 전달하는 정책 기반 경로를 만듭니다.

gcloud

다음 명령어를 사용하여 정책 기반 경로를 만듭니다.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

다음을 바꿉니다.

  • POLICY_BASED_ROUTE_NAME: 정책 기반 경로의 이름입니다.
  • NETWORK_NAME: 네트워크 이름
  • SWP_IP: 보안 웹 프록시 인스턴스의 IP 주소
  • DESTINATION_RANGE: 트래픽을 리디렉션할 IP 주소 범위
  • SOURCE_RANGE: 트래픽을 리디렉션할 IP 주소 범위
  • PROJECT: 프로젝트 ID

이제 다음 단계에 따라 기본 라우팅 정책 기반 경로를 만듭니다.

gcloud

다음 명령어를 사용하여 기본 라우팅 정책 기반 경로를 만듭니다.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

다음을 바꿉니다.

  • DEFAULT_POLICY_BASED_ROUTE_NAME: 정책 기반 경로의 이름
  • NETWORK_NAME: 네트워크 이름
  • DESTINATION_RANGE: 트래픽을 리디렉션할 IP 주소 범위
  • SOURCE_RANGE: 트래픽을 리디렉션할 IP 주소 범위
  • PROJECT: 프로젝트 ID

배포 후 체크리스트

보안 웹 프록시 인스턴스를 다음 홉으로 사용하여 정적 경로 또는 정책 기반 경로를 구성한 후 다음 작업을 완료해야 합니다.

  • 인터넷 게이트웨이의 기본 경로가 있는지 확인합니다.
  • 보안 웹 프록시 인스턴스를 다음 홉으로 가리키는 정적 경로에 올바른 네트워크 태그를 추가합니다.
  • 보안 웹 프록시 인스턴스의 기본 경로에 적절한 우선순위를 다음 홉으로 정의합니다.
  • 보안 웹 프록시는 지역별 서비스이므로 클라이언트 트래픽이 보안 웹 프록시 인스턴스와 동일한 리전에서 발생해야 합니다.

제한사항

  • RoutingModeNEXT_HOP_ROUTING_MODE로 설정된 SecureWebProxy 인스턴스는 HTTP(S) 및 TCP 프록시 트래픽을 지원합니다. 리전 간 트래픽을 비롯한 다른 유형의 트래픽은 알림 없이 삭제됩니다.
  • next-hop-ilb를 사용하는 경우 대상 다음 홉이 보안 웹 프록시 인스턴스인 경우 내부 패스 스루 네트워크 부하 분산기에 적용되는 제한사항이 다음 홉에 적용됩니다. 자세한 내용은 정적 경로의 다음 홉 및 기능 표를 참조하세요.
  • 다음 홉 경로와 일치하는 가상 머신(VM)의 모든 트래픽(백그라운드 트래픽 및 업데이트 포함)이 보안 웹 프록시 인스턴스로 라우팅됩니다.