Atribuir endereços IP estáticos para o tráfego de saída

Este documento mostra como atribuir seus próprios endereços IP corporativos ou estáticos Google Cloud que o Secure Web Proxy usa para o tráfego de saída.

Antes de começar

  • Conclua as etapas de configuração inicial.

  • Confira se você tem uma lista de endereços IPv4 estáticos reservados para usar com o Proxy da Web seguro. Se você quiser reservar endereços IP em Google Cloud, consulte o comando gcloud compute addresses create para criar um recurso de endereço.

  • Verifique se você tem a versão 406.0.0 ou mais recente da Google Cloud CLI instalada:

    gcloud version | head -n1

    Se você tiver uma versão anterior da CLI gcloud instalada, atualize a versão:

    gcloud components update --version=406.0.0

Ativar endereços IP estáticos para o Secure Web Proxy

Faça o seguinte:

  1. Identifique o nome do Cloud Router atribuído durante o provisionamento do Secure Web Proxy:

    gcloud compute routers list \
    --region REGION \
    --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
    --format="get(name)"

    Substitua:

    • REGION: a região em que o Cloud Router é implantado para o Proxy seguro da Web
    • NETWORK_NAME: o nome da rede VPC.

    O resultado será assim:

    swg-autogen-router-1

  2. Liste os endereços IP externos provisionados automaticamente atribuídos durante o provisionamento do proxy da Web seguro:

    gcloud compute routers get-status ROUTER_NAME  \
    --region=REGION

    O resultado será assim:

    kind: compute#routerStatusResponse
result:
  natStatus:
  - autoAllocatedNatIps:
    - 34.144.80.46
    - 34.144.83.75
    - 34.144.88.111
    - 34.144.94.113
    minExtraNatIpsNeeded: 0
    name: swg-autogen-nat
    numVmEndpointsWithNatMappings: 3
  network: https://www.googleapis.com/compute/projects/PROJECT_NAME/global/networks/NETWORK_NAME
    .

  3. Atualize o gateway do Cloud NAT para usar seu intervalo de IP predefinido:

    gcloud compute routers nats update swg-autogen-nat  \
    --router=ROUTER_NAME \
    --nat-external-ip-pool=IPv4_ADDRESSES... \
    --region=REGION

    Substitua IPv4_ADDRESSES pelo nome do recurso de endereço IPv4 externo que você pretende usar, separado por uma vírgula (,).

  4. Verifique se o intervalo de IPs foi atribuído ao gateway do Cloud NAT:

    gcloud compute routers nats describe swg-autogen-nat \
    --router=ROUTER_NAME  \
    --region=REGION

    O resultado será assim:

    enableEndpointIndependentMapping: false
icmpIdleTimeoutSec: 30
logConfig:
  enable: false
  filter: ALL
name: swg-autogen-nat
natIpAllocateOption: MANUAL_ONLY
natIps:
- https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES

  5. Atualize o gateway do Cloud NAT para usar o modo de alocação de porta dinâmica (DPA, na sigla em inglês). O modo DPA permite que o Secure Web Proxy use totalmente os endereços IP atribuídos.

    gcloud compute routers nats update swg-autogen-nat  \
    --router=ROUTER_NAME \
    --min-ports-per-vm=2048 \
    --max-ports-per-vm=4096 \
    --enable-dynamic-port-allocation \
    --region=REGION

    Para as flags --min-ports-per-vm e --max-ports-per-vm, recomendamos usar os valores 2048 e 4096, respectivamente.

    Use o Metrics Explorer para monitorar os dados de métricas para o seguinte e ajustar os valores mínimo e máximo de DPA conforme necessário:

    • Cloud NAT Gateway - Port usage
    • Cloud NAT Gateway - New connection count
    • Cloud NAT Gateway - Open connections

  6. Verifique se a DPA está ativada e se os valores mínimo e máximo da porta estão definidos:

    gcloud compute routers nats describe swg-autogen-nat \
    --router=ROUTER_NAME \
    --region=REGION

    O resultado será assim:

    enableDynamicPortAllocation: true
enableEndpointIndependentMapping: false
endpointTypes:
- ENDPOINT_TYPE_SWG
logConfig:
  enable: true
  filter: ERRORS_ONLY
maxPortsPerVm: 4096
minPortsPerVm: 2048
name: swg-autogen-nat
natIpAllocateOption: MANUAL_ONLY
natIps:
- https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES
type: PUBLIC

A seguir