Menetapkan alamat IP statis untuk traffic keluar

Dokumen ini menunjukkan cara menetapkan alamat IP perusahaan Anda sendiri, atau alamat IP Google Cloud statis, yang digunakan Secure Web Proxy untuk traffic keluar.

Sebelum memulai

• Selesaikan langkah-langkah penyiapan awal.

• Pastikan Anda memiliki daftar alamat IPv4 statis yang dicadangkan untuk digunakan bagi Proxy Web Aman. Jika Anda ingin mencadangkan alamat IP di Google Cloud, lihat perintah gcloud compute addresses create untuk membuat resource alamat.

• Pastikan Anda telah menginstal Google Cloud CLI versi 406.0.0 atau yang lebih baru:

  gcloud version | head -n1
  

  Jika Anda telah menginstal versi gcloud CLI sebelumnya, update versinya:

  gcloud components update --version=406.0.0
  

Mengaktifkan alamat IP statis untuk Secure Web Proxy

Lakukan tindakan berikut:

1. Identifikasi nama Cloud Router yang ditetapkan selama penyediaan Proxy Web Aman:

   gcloud compute routers list \
       --region REGION \
       --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
       --format="get(name)"
   

   Ganti kode berikut:

   • REGION: region tempat Cloud Router di-deploy untuk Proxy Web Aman
   • NETWORK_NAME: nama jaringan VPC Anda

   Outputnya mirip dengan hal berikut ini:

   swg-autogen-router-1
   

2. Cantumkan alamat IP eksternal yang disediakan secara otomatis dan ditetapkan selama penyediaan Secure Web Proxy:

   gcloud compute routers get-status ROUTER_NAME  \
       --region=REGION
   

   Outputnya mirip dengan hal berikut ini:

   kind: compute#routerStatusResponse
   result:
     natStatus:
     - autoAllocatedNatIps:
       - 34.144.80.46
       - 34.144.83.75
       - 34.144.88.111
       - 34.144.94.113
       minExtraNatIpsNeeded: 0
       name: swg-autogen-nat
       numVmEndpointsWithNatMappings: 3
     network: https://www.googleapis.com/compute/projects/PROJECT_NAME/global/networks/NETWORK_NAME
   

3. Perbarui gateway Cloud NAT untuk menggunakan rentang IP yang telah Anda tentukan:

   gcloud compute routers nats update swg-autogen-nat  \
       --router=ROUTER_NAME \
       --nat-external-ip-pool=IPv4_ADDRESSES... \
       --region=REGION
   

   Ganti IPv4_ADDRESSES dengan nama resource alamat IPv4 eksternal yang ingin Anda gunakan, dipisahkan dengan koma (,).

4. Pastikan rentang IP Anda ditetapkan ke gateway Cloud NAT:

   gcloud compute routers nats describe swg-autogen-nat \
       --router=ROUTER_NAME  \
       --region=REGION
   

   Outputnya mirip dengan hal berikut ini:

   enableEndpointIndependentMapping: false
   icmpIdleTimeoutSec: 30
   logConfig:
     enable: false
     filter: ALL
   name: swg-autogen-nat
   natIpAllocateOption: MANUAL_ONLY
   natIps:
   - https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
   sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES
   

5. Perbarui gateway Cloud NAT untuk menggunakan mode Dynamic Port Allocation (DPA). Mode DPA memungkinkan Secure Web Proxy menggunakan alamat IP yang ditetapkan sepenuhnya.

   gcloud compute routers nats update swg-autogen-nat  \
       --router=ROUTER_NAME \
       --min-ports-per-vm=2048 \
       --max-ports-per-vm=4096 \
       --enable-dynamic-port-allocation \
       --region=REGION
   

   Untuk flag --min-ports-per-vm dan --max-ports-per-vm, sebaiknya Anda menggunakan nilai 2048 dan 4096.

   Gunakan Metrics Explorer untuk memantau data metrik untuk hal berikut dan sesuaikan nilai minimum dan maksimum DPA sesuai kebutuhan:

   • Cloud NAT Gateway - Port usage
   • Cloud NAT Gateway - New connection count
   • Cloud NAT Gateway - Open connections

6. Pastikan DPA Anda diaktifkan dan nilai port minimum dan maksimum ditetapkan:

   gcloud compute routers nats describe swg-autogen-nat \
       --router=ROUTER_NAME \
       --region=REGION
   

   Outputnya mirip dengan hal berikut ini:

   enableDynamicPortAllocation: true
   enableEndpointIndependentMapping: false
   endpointTypes:
   - ENDPOINT_TYPE_SWG
   logConfig:
     enable: true
     filter: ERRORS_ONLY
   maxPortsPerVm: 4096
   minPortsPerVm: 2048
   name: swg-autogen-nat
   natIpAllocateOption: MANUAL_ONLY
   natIps:
   - https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
   sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES
   type: PUBLIC
   

Apa langkah selanjutnya?

• Menggunakan tag untuk membuat kebijakan
• Menggunakan daftar URL untuk membuat kebijakan