이 페이지는 Cloud Translation API를 통해 번역되었습니다.

보안 웹 프록시를 다음 홉으로 배포

이 페이지에서는 보안 웹 프록시 정책을 만드는 방법을 간략하게 설명한 다음 보안 웹 프록시 인스턴스의 다음 홉 라우팅을 구성하는 방법을 설명합니다. 또한 이 페이지에서는 다음 홉에 정적 라우팅 또는 정책 기반 라우팅을 구성하는 방법을 설명합니다.

기본적으로 SecureWebProxy 인스턴스의 RoutingMode 값은 EXPLICIT_ROUTING_MODE입니다. 즉, HTTP(S) 트래픽을 보안 웹 프록시에 명시적으로 전송하도록 워크로드를 구성해야 합니다. 보안 웹 프록시 인스턴스로 전달하도록 개별 클라이언트를 구성하는 대신 보안 웹 프록시 인스턴스의 RoutingMode를 NEXT_HOP_ROUTING_MODE로 설정하면 됩니다. 그러면 보안 웹 프록시 인스턴스로 트래픽을 전달하는 경로를 정의할 수 있습니다.

보안 웹 프록시의 다음 홉 라우팅 구성

이 섹션에서는 보안 웹 프록시 정책을 만드는 단계와 보안 웹 프록시 인스턴스를 다음 홉으로 배포하는 절차를 설명합니다.

보안 웹 프록시 정책 만들기

보안 웹 프록시 인스턴스를 다음 홉으로 배포

콘솔

Google Cloud 콘솔에서 웹 프록시 페이지로 이동합니다.

웹 프록시로 이동
보안 웹 프록시 만들기를 클릭합니다.
만들려는 웹 프록시의 이름(예: myswp)을 입력합니다.
웹 프록시에 대한 설명(예: My new swp)을 입력합니다.
라우팅 모드에서 다음 홉 옵션을 선택합니다.
리전 목록에서 웹 프록시를 만들 리전을 선택합니다.
네트워크 목록에서 웹 프록시를 만들 네트워크를 선택합니다.
서브네트워크 목록에서 웹 프록시를 만들 서브네트워크를 선택합니다.
선택사항: 보안 웹 프록시 IP 주소를 입력합니다. 이전 단계에서 만든 서브네트워크에 있는 보안 웹 프록시 IP 주소 범위의 IP 주소를 입력할 수 있습니다. IP 주소를 입력하지 않으면 보안 웹 프록시 인스턴스가 선택한 서브네트워크에서 IP 주소를 자동으로 선택합니다.
인증서 목록에서 웹 프록시를 만드는 데 사용할 인증서를 선택합니다.
정책 목록에서 웹 프록시를 연결하기 위해 만든 정책을 선택합니다.
만들기를 클릭합니다.

Cloud Shell

gateway.yaml 파일을 생성합니다.

name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443, 80]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: NEXT_HOP_ROUTING_MODE

보안 웹 프록시 인스턴스를 만듭니다.
```
gcloud network-services gateways import swp1 \
  --source=gateway.yaml \
  --location=REGION
```
보안 웹 프록시 인스턴스를 배포하는 데 몇 분 정도 걸릴 수 있습니다.

다음 홉 경로 만들기

보안 웹 프록시 인스턴스를 만든 후 다음 홉에 정적 라우팅 또는 정책 기반 라우팅을 구성할 수 있습니다.

정적 경로는 네트워크 내 트래픽을 동일한 리전의 보안 웹 프록시 인스턴스로 전달합니다. 보안 웹 프록시를 다음 홉으로 사용하는 정적 경로를 설정하려면 네트워크 태그를 구성해야 합니다.
정책 기반 경로를 사용하면 소스 IP 주소 범위에서 보안 웹 프록시 인스턴스로 트래픽을 전달할 수 있습니다. 정책 기반 경로를 처음으로 구성할 때는 다른 정책 기반 경로를 기본 경로로 구성해야 합니다.

다음 두 섹션에서는 정적 경로와 정책 기반 경로를 만드는 방법을 설명합니다.

정적 경로 만들기

보안 웹 프록시 인스턴스로 트래픽을 라우팅하려면 gcloud compute routes create 명령어로 정적 경로를 설정하세요. 정적 경로를 네트워크 태그와 연결하고 모든 소스 리소스에 동일한 네트워크 태그를 사용하여 트래픽이 보안 웹 프록시 인스턴스로 리디렉션되도록 해야 합니다. 정적 경로는 소스 IP 주소 범위를 정의할 수 없습니다.

Google Cloud에서 정적 경로가 작동하는 방식에 대한 자세한 내용은 정적 경로를 참고하세요.

gcloud

다음 명령어를 사용하여 정적 경로를 만듭니다.

gcloud compute routes create STATIC_ROUTE_NAME \
    --network=NETWORK_NAME \
    --next-hop-ilb=SWP_IP \
    --destination-range=DESTINATION_RANGE \
    --priority=PRIORITY \
    --tags=TAGS \
    --project=PROJECT

다음을 바꿉니다.

STATIC_ROUTE_NAME: 정적 경로의 이름
NETWORK_NAME: 네트워크 이름
SWP_IP: gateway.yaml 파일에 지정된 서브네트워크에 있는 SecureWebProxy 인스턴스의 IP 주소
DESTINATION_RANGE: 트래픽을 리디렉션할 IP 주소 범위입니다. 예를 들어 0.0.0.0/0를 사용하여 모든 인터넷 트래픽을 보안 웹 프록시 인스턴스로 라우팅합니다.
PRIORITY: 경로의 우선순위. 숫자가 클수록 우선순위가 낮습니다. 경로의 우선순위가 기본 인터넷 경로보다 숫자가 낮아야 합니다. 기본 인터넷 경로는 일반적으로 1000입니다.
TAGS: 보안 웹 프록시 인스턴스와 함께 사용할 태그의 쉼표로 구분된 목록
PROJECT: 프로젝트 ID

경로에 지정된 네트워크 태그를 사용하여 적절한 서브넷에 VM 만들기

gcloud compute instances create swp-nexthop-test-vm \
    --subnet=SUBNETWORK \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11 \
    --tags=TAGS

다음을 바꿉니다.

SUBNETWORK: 웹 프록시에 대해 구성한 서브네트워크
ZONE: 테스트 VM 인스턴스의 영역
TAGS: 보안 웹 프록시 인스턴스에 사용할 태그의 쉼표로 구분된 목록

정책 기반 경로 만들기

정적 라우팅 대신 network-connectivity policy-based-routes create 명령어를 사용하여 정책 기반 경로를 설정할 수 있습니다. 또한 정책 기반 경로를 기본 경로로 만들어야 합니다. 그러면 네트워크 내 가상 머신 (VM) 인스턴스 간의 트래픽에 기본 라우팅이 사용 설정됩니다.Google Cloud에서 정책 기반 경로가 작동하는 방식에 관한 자세한 내용은 정책 기반 라우팅을 참고하세요.

기본 라우팅을 사용 설정하는 경로의 우선순위는 트래픽을 보안 웹 프록시 인스턴스로 전달하는 정책 기반 경로의 우선순위보다 높아야 합니다(숫자가 더 낮아야 함). 기본 라우팅을 사용 설정하는 경로보다 우선순위가 높은 정책 기반 경로를 만들면 이 경로가 다른 모든 VPC 경로보다 우선 적용됩니다.

다음 예시를 사용하여 트래픽을 보안 웹 프록시 인스턴스로 전달하는 정책 기반 경로를 만드세요.

gcloud

다음 명령어를 사용하여 정책 기반 경로를 만듭니다.

gcloud network-connectivity policy-based-routes create POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-ilb-ip=SWP_IP \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=2 \
    --project=PROJECT

다음을 바꿉니다.

POLICY_BASED_ROUTE_NAME: 정책 기반 경로의 이름
NETWORK_NAME: 네트워크 이름
SWP_IP: 보안 웹 프록시 인스턴스의 IP 주소
DESTINATION_RANGE: 트래픽을 리디렉션할 IP 주소 범위
SOURCE_RANGE: 트래픽을 리디렉션할 IP 주소 범위
PROJECT: 프로젝트 ID

이제 다음 단계에 따라 기본 라우팅 정책 기반 경로를 만듭니다.

gcloud

다음 명령어를 사용하여 기본 라우팅 정책 기반 경로를 만듭니다.

gcloud network-connectivity policy-based-routes create DEFAULT_POLICY_BASED_ROUTE_NAME \
    --network="projects/PROJECT/global/networks/NETWORK_NAME" \
    --next-hop-other-routes="DEFAULT_ROUTING" \
    --protocol-version="IPV4" \
    --destination-range=DESTINATION_RANGE \
    --source-range=SOURCE_RANGE \
    --priority=1 \
    --project=PROJECT

다음을 바꿉니다.

DEFAULT_POLICY_BASED_ROUTE_NAME: 정책 기반 경로의 이름
NETWORK_NAME: 네트워크 이름
DESTINATION_RANGE: 트래픽을 리디렉션할 IP 주소 범위
SOURCE_RANGE: 트래픽을 리디렉션할 IP 주소 범위
PROJECT: 프로젝트 ID

배포 후 체크리스트

보안 웹 프록시 인스턴스를 다음 홉으로 사용하여 정적 경로 또는 정책 기반 경로를 구성한 후 다음 작업을 완료해야 합니다.

인터넷 게이트웨이의 기본 경로가 있는지 확인합니다.
보안 웹 프록시 인스턴스를 다음 홉으로 가리키는 정적 경로에 올바른 네트워크 태그를 추가합니다.
보안 웹 프록시 인스턴스를 다음 홉으로 사용하는 기본 경로에 적절한 우선순위를 정의합니다.
보안 웹 프록시는 리전 서비스이므로 클라이언트 트래픽이 보안 웹 프록시 인스턴스와 동일한 리전에서 시작되는지 확인하세요.

제한사항

RoutingMode이 NEXT_HOP_ROUTING_MODE로 설정된 SecureWebProxy 인스턴스는 HTTP(S) 및 TCP 프록시 트래픽을 지원합니다. 리전 간 트래픽을 포함한 다른 유형의 트래픽은 알림 없이 삭제됩니다.
next-hop-ilb를 사용하는 경우 대상 다음 홉이 보안 웹 프록시 인스턴스인 경우 내부 패스 스루 네트워크 부하 분산기에 적용되는 제한사항이 다음 홉에 적용됩니다. 자세한 내용은 정적 경로의 다음 홉 및 기능 표를 참조하세요.
다음 홉 경로와 일치하는 가상 머신(VM)의 모든 트래픽(백그라운드 트래픽 및 업데이트 포함)이 보안 웹 프록시 인스턴스로 라우팅됩니다.
리전의 VPC 네트워크의 경우 다음 홉 (SWPaNH) 인스턴스로 보안 웹 프록시를 하나만 배포할 수 있습니다.

보안 웹 프록시를 다음 홉으로 배포 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

보안 웹 프록시의 다음 홉 라우팅 구성

보안 웹 프록시 정책 만들기

보안 웹 프록시 인스턴스를 다음 홉으로 배포

콘솔

Cloud Shell

다음 홉 경로 만들기

정적 경로 만들기

gcloud

정책 기반 경로 만들기

gcloud

gcloud

배포 후 체크리스트

제한사항

보안 웹 프록시를 다음 홉으로 배포