Diese Seite wurde von der Cloud Translation API übersetzt.

Ersteinrichtung

In diesem Dokument werden die ersten Einrichtungsschritte beschrieben, die für die Verwendung von Secure Web Proxy erforderlich sind.

Bevor Sie Secure Web Proxy verwenden können, müssen Sie die folgenden Schritte ausführen:

Rufen Sie die erforderlichen Identity and Access Management-Rollen ab.
Erstellen Sie ein Google Cloud Projekt oder wählen Sie eines aus.
Aktivieren Sie die Abrechnung und die relevanten Google Cloud APIs.
Proxy-Subnetze erstellen
Laden Sie ein SSL-Zertifikat in den Zertifikatmanager hoch.

Diese Einrichtung ist nur erforderlich, wenn Sie Secure Web Proxy zum ersten Mal verwenden.

IAM-Rollen abrufen

So erhalten Sie Berechtigungen:

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Bereitstellen einer Secure Web Proxy-Instanz benötigen:
- So konfigurieren Sie Richtlinien und stellen eine Secure Web Proxy-Instanz bereit: Rolle „Compute Network Admin“ (roles/compute.networkAdmin)
- So laden Sie explizite Secure Web Proxy-TLS-Zertifikate hoch: Rolle „Certificate Manager-Bearbeiter“ (roles/certificatemanager.editor)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Optional: Wenn Sie eine Gruppe von Nutzern haben, die für die laufende Richtlinienverwaltung zuständig sind, weisen Sie ihnen die Rolle „Administrator für Sicherheitsrichtlinien“ (roles/compute.orgSecurityPolicyAdmin) zu, damit sie Sicherheitsrichtlinien verwalten können.

Google Cloud -Projekt erstellen

So erstellen oder wählen Sie ein Google Cloud Projekt aus:

Console

Wählen Sie in der Google Cloud Console auf der Seite für die Projektauswahl ein Google Cloud -Projekt aus oder erstellen Sie eines.

Zur Projektauswahl

Cloud Shell

So erstellen Sie ein Google Cloud -Projekt:
```
  gcloud projects create PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch die gewünschte Projekt-ID.
Wählen Sie das von Ihnen erstellte Google Cloud Projekt aus:
```
  gcloud config set project PROJECT_ID
```

Abrechnung und APIs aktivieren

So aktivieren Sie die Abrechnung und die relevanten Google Cloud APIs:

Die Abrechnung für Ihr Google Cloud -Projekt muss aktiviert sein. Informationen zum Prüfen des Abrechnungsstatus Ihrer Projekte
Aktivieren Sie die Compute Engine API.

API aktivieren
Aktivieren Sie die Certificate Manager API.

API aktivieren
Aktivieren Sie die Network Services API.

API aktivieren
Aktivieren Sie die Network Security API.

API aktivieren

Proxy-Subnetz erstellen

Erstellen Sie für jede Region, in der Sie Secure Web Proxy bereitstellen, ein Proxy-Subnetz. Erstellen Sie ein Subnetz mit einer Größe von mindestens /26 oder 64 Nur-Proxy-Adressen. Wir empfehlen eine Subnetzgröße von /23 oder 512 Nur-Proxy-Adressen, da die Secure Web Proxy-Verbindung über einen Pool von IP-Adressen erfolgt, die für Secure Web Proxy reserviert sind. Dieser Pool wird verwendet, um eindeutige IP-Adressen auf der Ausgangsseite jedes Proxys für die Interaktion mit Cloud NAT und Zielen im VPC-Netzwerk zuzuweisen.

gcloud

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Ersetzen Sie Folgendes:

PROXY_SUBNET_NAME: der Name, den Sie für Ihr Proxy-Subnetz verwenden möchten
REGION: die Region, in der das Proxy-Subnetz bereitgestellt werden soll.
NETWORK_NAME: Ihr Netzwerkname
IP_RANGE: Der Subnetzbereich, z. B. 192.168.0.0/23

SSL-Zertifikat bereitstellen

SSL-Zertifikate sind für Secure Web Proxy optional. Verwenden Sie eine der folgenden Methoden, um Zertifikate mit dem Zertifikatmanager bereitzustellen:

Regionales von Google verwaltetes Zertifikat mit DNS-Autorisierung pro Projekt bereitstellen Weitere Informationen finden Sie unter Regionales von Google verwaltetes Zertifikat bereitstellen.
Regionales von Google verwaltetes Zertifikat mit Certificate Authority Service bereitstellen Weitere Informationen finden Sie unter Regionales, von Google verwaltetes Zertifikat mit CA Service bereitstellen.
Regionales selbstverwaltetes Zertifikat bereitstellen
Im folgenden Beispiel wird gezeigt, wie Sie ein regionales selbstverwaltetes Zertifikat mit Certificate Manager bereitstellen.

So erstellen Sie ein SSL-Zertifikat:
```
openssl req -x509 -newkey rsa:2048 \
  -keyout KEY_PATH \
  -out CERTIFICATE_PATH -days 365 \
  -subj '/CN=SWP_HOST_NAME' -nodes -addext \
  "subjectAltName=DNS:SWP_HOST_NAME"
```
Ersetzen Sie Folgendes:
- KEY_PATH: der Pfad zum Speichern des Schlüssels, z. B. ~/key.pem
- CERTIFICATE_PATH: der Pfad zum Speichern des Zertifikats, z. B. ~/cert.pem
- SWP_HOST_NAME: der Hostname für Ihre Secure Web Proxy-Instanz, z. B. myswp.example.com
So laden Sie das SSL-Zertifikat in den Zertifikatmanager hoch:
```
gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file=CERTIFICATE_PATH \
   --private-key-file=KEY_PATH \
   --location=REGION
```
Ersetzen Sie Folgendes:
- CERTIFICATE_NAME: der Name Ihres Zertifikats
- CERTIFICATE_PATH: Der Pfad zur Zertifikatsdatei.
- KEY_PATH: Der Pfad zur Schlüsseldatei.
Weitere Informationen zu SSL-Zertifikaten finden Sie unter Übersicht über SSL-Zertifikate.