将安全 Web 代理发布为 Private Service Connect 服务

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

控制台

1. 在 Google Cloud 控制台中，前往 SWP 政策页面。

   前往“SWP 政策”页面

2. 点击 add_box创建政策。

3. 输入您要创建的政策的名称，例如 myswppolicy。

4. 输入政策说明。

5. 在区域列表中，选择要创建网站代理政策的区域。

6. 点击创建。

Cloud Shell

1. 创建 policy.yaml 文件。

   description: basic Secure Web Proxy policy
   name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
   

   替换以下内容：

   • PROJECT_ID：您的项目的 ID
   • REGION：政策的区域

2. 根据 policy.yaml 创建安全 Web 代理政策。

   gcloud network-security gateway-security-policies import policy1 \
       --source=policy.yaml \
       --location=REGION
   

控制台

1. 在 Google Cloud 控制台中，前往 SWP 政策页面。

   前往“SWP 政策”页面

2. 点击您的政策名称。

3. 如需添加规则以允许工作负载访问互联网，请执行以下操作：

   1. 点击 add_box添加规则。
   2. 输入优先级。这些规则按照从最高到最低的优先级进行评估，其中 0 是最高优先级。
   3. 输入名称。
   4. 请输入说明
   5. 输入状态。
   6. 对于操作，请选择允许。
   7. 点击状态，然后选择已启用。

   8. 在会话匹配部分，指定会话匹配条件。

      • 例如，如需允许来自 Resource Manager 标记值 ID 为 tagValues/123456 的工作负载的���量访问 google.com，请输入���下内容：

        source.matchTag('tagValues/123456') && host() == 'google.com'

      • 如需允许使用服务账号 account-name@my-project.iam.gserviceaccount.com 的工作负载向 google.com 发送流量，请输入以下内容：

        source.matchServiceAccount('account-name@my-project.iam.gserviceaccount.com') && host() == 'google.com'

   9. 点击创建。

Cloud Shell

对于要添加的每条规则，请执行以下操作：

1. 创建一个 rule.yaml 文件，并指定用于匹配会话的条件。

   • 如需允许来自由 Resource Manager 标记值 ID 标识的工作负载的流量访问特定网域，请创建以下文件：

     name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME
     description: Allow traffic based on tag
     enabled: true
     priority: PRIORITY
     basicProfile: ALLOW
     sessionMatcher: source.matchTag('TAG_VALUE_ID') && host() == 'DOMAIN_NAME'
     

     替换以下内容：

     • PROJECT_ID：您的项目的 ID
     • REGION：您的政策的区域
     • RULE_NAME：规则的名称
     • PRIORITY：规则的优先级 - 规则按照从高到低的优先级进行评估，其中 0 是最高优先级
     • TAG_VALUE_ID：要允许流量的各个工作负载的标记值 ID
     • DOMAIN_NAME：要允许流量转到的域名

   • 如需允许使用服务账号的工作负载向特定网域发送流量，请创建以下文件：

     name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME
     description: Allow traffic based on service account
     enabled: true
     priority: PRIORITY
     basicProfile: ALLOW
     sessionMatcher: source.matchServiceAccount('SERVICE_ACCOUNT') && host() == 'DOMAIN_NAME'
     

     将 SERVICE_ACCOUNT 替换为服务账号的名称。

2. 如需使用您在 rule.yaml 中定义的规则更新政策，请使用以下命令：

   gcloud network-security gateway-security-policies rules import RULE_NAME \
      --source=rule.yaml \
      --location=REGION \
      --gateway-security-policy=policy1
   

控制台

1. 在 Google Cloud 控制台中，前往 VPC 网络页面。

   进入 VPC 网络页面

2. 点击某个 VPC 网络的名称以显示其 VPC 网络详情页面。

3. 点击子网。

4. 点击添加子网。在显示的面板中，执行以下操作：

   1. 提供名称。
   2. 选择区域。
   3. 在用途部分中，选择 Private Service Connect。
   4. 对于 IP 堆栈类型，请选择 IPv4（单栈）或 IPv4 和 IPv6（双栈）。
   5. 输入 IPv4 范围。例如 10.10.10.0/24。
   6. 如果您要创建双栈子网，请将 IPv6 访问类型设置为内部。
   7. 点击添加。

Cloud Shell

执行下列其中一项操作：

• 如需创建仅 IPv4 的 Private Service Connect 子网，请执行以下操作：

  gcloud compute networks subnets create SUBNET_NAME \
      --network=NETWORK_NAME \
      --region=REGION \
      --range=SUBNET_RANGE \
      --purpose=PRIVATE_SERVICE_CONNECT
  

• 如需创建双栈 Private Service Connect 子网，请执行以下操作：

  gcloud compute networks subnets create SUBNET_NAME \
      --network=NETWORK_NAME \
      --region=REGION \
      --stack-type=IPV4_IPV6 \
      --ipv6-access-type=INTERNAL \
      --range=SUBNET_RANGE \
      --purpose=PRIVATE_SERVICE_CONNECT
  

替换以下内容：

• SUBNET_NAME：要分配给子网的名称。

• NETWORK_NAME：用于新子网的 VPC 的名称。

• REGION：新子网的区域。此区域必须与您要发布服务的区域相同。

• SUBNET_RANGE：要用于子网的 IPv4 地址范围，例如 10.10.10.0/24。

控制台

1. 在 Google Cloud 控制台中，前往 Private Service Connect 页面。

   转到 Private Service Connect

2. 点击已发布服务标签页。

3. 点击发布服务。

4. 在目标详细信息部分中，选择安全 Web 代理。

5. 选择要发布的安全 Web 代理实例。“网络”和“区域”字段会填充所选安全 Web 代理实例的详细信息。

6. 对于服务名称，输入服务连接的名称。

7. 为服务选择一个或多个 Private Service Connect 子网。相关列表会填充来自所选安全 Web 代理实例的 VPC 网络的子网。

8. 在连接偏好设置部分中，选择自动接受所有连接。

9. 点击添加服务。

Cloud Shell

使用 gcloud compute service-attachments create 命令。

gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \
    --target-service=SWP_INSTANCE_URI \
    --connection-preference=ACCEPT_AUTOMATIC \
    --nat-subnets=NAT_SUBNET_NAME \
    --region=REGION \
    --project=PROJECT \

替换以下内容：

• SERVICE_ATTACHMENT_NAME：服务连接的名称
• SWP_INSTANCE_URI：安全 Web 代理实例的 URI，采用以下格式：//networkservices.googleapis.com/projects/PROJECT_ID/locations/REGION/gateways/INSTANCE_NAME
• NAT_SUBNET_NAME：Private Service Connect 子网的名称
• REGION：安全 Web 代理部署的区域
• PROJECT：安全 Web 代理部署的项目

控制台

1. 在 Google Cloud 控制台中，前往 Private Service Connect 页面。

   转到 Private Service Connect

2. 点击已连接的端点标签页。

3. 点击连接端点。

4. 对于目标，选择已发布的服务。

5. 对于目标服务，输入要连接到的服务连接 URI。

   服务连接 URI 的格式为：projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

6. 对于端点名称，输入要用于端点的名称。

7. 为端点选择网络。

8. 为端点选择子网。

9. 为端点选择 IP 地址。如果您需要新的 IP 地址，可以创建一个：

   1. 点击 IP 地址下拉菜单，然后选择创建 IP 地址。
   2. 为 IP 地址输入名称和可选的描述。
   3. 选择 IP 版本。

   4. 如果您要创建 IPv4 地址，请选择自动分配或让我选择。

      如果您选择了让我选择，请输入您要使用的自定义 IP 地址。

   5. 点击预留。

10. 点击添加端点。

Cloud Shell

1. 预留要分配给该端点的内部 IP 地址。

   gcloud compute addresses create ADDRESS_NAME \
       --region=REGION \
       --subnet=SUBNET \
       --ip-version=IP_VERSION
   

   请替换以下内容：

   • ADDRESS_NAME：分配给预留 IP 地址的名称。

   • REGION：端点 IP 地址所在的区域。此区域必须与服务提供方的服务连接所在区域相同。

   • SUBNET：端点 IP 地址的子网名称。

   • IP_VERSION：IP 地址的 IP 版本，可以是 IPV4 或 IPV6。默认为 IPV4。如需指定 IPV6，IP 地址必须连接到具有内部 IPv6 地址范围的子网。

2. 创建转发规则，以将该端点连接到服务提供方的服务连接。

   gcloud compute forwarding-rules create ENDPOINT_NAME \
      --region=REGION \
      --network=NETWORK_NAME \
      --address=ADDRESS_NAME \
      --target-service-attachment=SERVICE_ATTACHMENT
   

   请替换以下内容：

   • ENDPOINT_NAME：分配给端点的名称。

   • REGION：端点所在区域。此区域必须与服务提供方的服务连接所在区域相同。

   • NETWORK_NAME：端点的 VPC 网络的名称。

   • ADDRESS_NAME：预留地址的名称。

   • SERVICE_ATTACHMENT：服务提供方的服务连接的 URI。例如：projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME