Questo documento descrive i passaggi di configurazione iniziali necessari per utilizzare Secure Web Proxy.
Prima di poter utilizzare Secure Web Proxy, completa la seguente configurazione:
- Ottieni i ruoli Identity and Access Management necessari.
- Crea o seleziona un Google Cloud progetto.
- Abilita la fatturazione e le API Google Cloud pertinenti.
- Crea subnet proxy.
- Carica un certificato SSL in Certificate Manager.
Questa configurazione è necessaria solo la prima volta che utilizzi Secure Web Proxy.
Ottenere ruoli IAM
Per ottenere le autorizzazioni:
-
Per ottenere le autorizzazioni necessarie per eseguire il provisioning di un'istanza di Secure Web Proxy, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:
-
Per configurare i criteri e il provisioning di un'istanza di Secure Web Proxy:
Ruolo Amministratore rete Compute (
roles/compute.networkAdmin) -
Per caricare certificati TLS Secure Web Proxy espliciti:
Ruolo Editor di Certificate Manager (
roles/certificatemanager.editor)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
-
Per configurare i criteri e il provisioning di un'istanza di Secure Web Proxy:
Ruolo Amministratore rete Compute (
(Facoltativo) Se hai un insieme di utenti responsabili della gestione continua delle policy, concedi loro il ruolo Amministratore delle policy di sicurezza (
roles/compute.orgSecurityPolicyAdmin) per consentire loro di gestire le policy di sicurezza.
Crea un progetto Google Cloud
Per creare o selezionare un Google Cloud progetto:
Console
Nella console Google Cloud , nella pagina del selettore di progetti, seleziona o crea un Google Cloud progetto.
Cloud Shell
Creare un progetto Google Cloud :
gcloud projects create PROJECT_IDSostituisci PROJECT_ID con l'ID progetto che preferisci.
Seleziona il Google Cloud progetto che hai creato:
gcloud config set project PROJECT_ID
Abilita fatturazione e API
Per abilitare la fatturazione e le API Google Cloud pertinenti, segui questi passaggi:
Verifica che la fatturazione sia attivata per il tuo progetto Google Cloud . Scopri come verificare lo stato di fatturazione dei tuoi progetti.
Abilita l'API Compute Engine
Abilita l'API Certificate Manager.
Abilita l'API Network Services.
Abilita l'API Network Security.
Crea una subnet proxy
Crea una subnet proxy per ogni regione in cui esegui il deployment di Secure Web Proxy. Crea una subnet di almeno /26 o 64 indirizzi solo proxy. Consigliamo una dimensione della subnet di /23, ovvero 512 indirizzi solo proxy, perché la connettività di Secure Web Proxy è fornita da un pool di indirizzi IP riservati a Secure Web Proxy. Questo pool viene utilizzato per allocare indirizzi IP univoci sul lato di uscita di ogni proxy per l'interazione con Cloud NAT e le destinazioni nella rete VPC.
gcloud
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Sostituisci quanto segue:
PROXY_SUBNET_NAME: il nome che vuoi assegnare alla subnet proxyREGION: la regione in cui eseguire il deployment della subnet proxyNETWORK_NAME: il nome della tua reteIP_RANGE: l'intervallo di subnet, ad esempio192.168.0.0/23
Deployment di un certificato SSL
I certificati SSL sono facoltativi per Secure Web Proxy. Per eseguire il deployment dei certificati utilizzando Certificate Manager, utilizza uno dei seguenti metodi:
Deployment di un certificato gestito da Google regionale con autorizzazione DNS per progetto. Per saperne di più, vedi Eseguire il deployment di un certificato regionale gestito da Google.
Esegui il deployment di un certificato gestito da Google a livello di regione con Certificate Authority Service. Per maggiori informazioni, vedi Eseguire il deployment di un certificato regionale gestito da Google con il servizio CA.
Esegui il deployment di un certificato autogestito regionale.
L'esempio seguente mostra come eseguire il deployment di un certificato autogestito regionale utilizzando Certificate Manager.
Per creare un certificato SSL:
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"Sostituisci quanto segue:
KEY_PATH: il percorso in cui salvare la chiave, ad esempio~/key.pemCERTIFICATE_PATH: il percorso in cui salvare il certificato, ad esempio~/cert.pemSWP_HOST_NAME: il nome host dell'istanza Secure Web Proxy, ad esempiomyswp.example.com
Per caricare il certificato SSL in Certificate Manager:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file=CERTIFICATE_PATH \ --private-key-file=KEY_PATH \ --location=REGIONSostituisci quanto segue:
CERTIFICATE_NAME: il nome del certificatoCERTIFICATE_PATH: il percorso del file del certificatoKEY_PATH: il percorso del file della chiave
Per ulteriori informazioni sui certificati SSL, consulta Panoramica dei certificati SSL.
Passaggi successivi
- Deployment e test di un'istanza di Secure Web Proxy
- Utilizzare i tag per creare criteri
- Utilizzare un elenco di URL per creare criteri
- Assegnare indirizzi IP statici per il traffico in uscita