Neste documento, descrevemos as etapas de configuração inicial necessárias para usar o Secure Web Proxy.
Antes de usar o proxy seguro, conclua a seguinte configuração:
- Conseguir os papéis necessários do Identity and Access Management.
- Criar ou selecionar um projeto do Google Cloud.
- Ativar o faturamento e as APIs relevantes do Google Cloud.
- Criar sub-redes de proxy.
- Faça upload de um certificado SSL no Gerenciador de certificados.
Essa configuração só será necessária na primeira vez que você usar o Secure Web Proxy.
Conseguir papéis do IAM
Para receber permissões, siga estas etapas:
-
Para ter as permissões necessárias para provisionar uma instância do Secure Web Proxy, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:
-
Para configurar políticas e provisionar uma instância do Secure Web Proxy:
Função de administrador de rede do Compute (
roles/compute.networkAdmin
) -
Para fazer upload de certificados TLS explícitos do Secure Web Proxy:
Papel de Editor do Gerenciador de certificados (
roles/certificatemanager.editor
)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
-
Para configurar políticas e provisionar uma instância do Secure Web Proxy:
Função de administrador de rede do Compute (
Opcional: se você tiver um conjunto de usuários responsáveis pelo gerenciamento contínuo de políticas, conceda a eles a função de administrador de políticas de segurança (
roles/compute.orgSecurityPolicyAdmin
) para que eles gerenciem as políticas de segurança.
Criar um projeto do Google Cloud
Para criar ou selecionar um projeto do Google Cloud, siga estas etapas:
Console
No console do Google Cloud, na página do seletor de projetos, selecione ou Crie um projeto do Google Cloud.
Cloud Shell
Crie um projeto do Google Cloud:
gcloud projects create PROJECT_ID
Substitua PROJECT_ID pelo ID do projeto que você querem.
Selecione o projeto do Google Cloud que você criou:
gcloud config set project PROJECT_ID
Ativar faturamento e APIs
Para ativar o faturamento e as APIs relevantes do Google Cloud, siga estas etapas:
Verifique se a cobrança está ativada para o seu projeto do Google Cloud. Saiba como verificar o status de faturamento dos seus projetos.
Ative a API Compute Engine.
Criar uma sub-rede de proxy
Crie uma sub-rede de proxy para cada região em que você implantar o Secure Web Proxy. Crie um tamanho de sub-rede de pelo menos /26 ou 64 endereços somente proxy. Recomendamos um tamanho de sub-rede de /23, ou 512 endereços somente proxy, porque o Secure Web Proxy é fornecida por um pool de endereços IP reservados para com o Secure Web Proxy. Esse pool é usado para alocar endereços IP exclusivos no lado de saída de cada proxy para interação com o Cloud NAT e destinos na rede VPC.
gcloud
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Substitua:
PROXY_SUBNET_NAME
: o nome que você quer para a sub-rede de proxy.REGION
: a região em que a sub-rede de proxy será implantada.NETWORK_NAME
: o nome da sua redeIP_RANGE
: o intervalo de sub-rede, como192.168.0.0/23
.
Implantar um certificado SSL
Para implantar certificados usando o Gerenciador de certificados, use um dos seguintes métodos:
Implantar um certificado regional gerenciado pelo Google com DNS por projeto autorização. Para mais informações, consulte Implantar um certificado regional gerenciado pelo Google.
Implante um certificado regional gerenciado pelo Google com o Certificate Authority Service. Para Para mais informações, consulte Implantar um certificado regional gerenciado pelo Google com o CA Service.
Implantar um certificado autogerenciado regional.
O exemplo a seguir mostra como implantar um certificado autogerenciado regional usando o Gerenciador de certificados.
Para criar um certificado SSL:
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"
Substitua:
KEY_PATH
: o caminho para salvar a chave, como~/key.pem
CERTIFICATE_PATH
: o caminho para salvar o certificado, como~/cert.pem
SWP_HOST_NAME
: o nome do host do Instância do Secure Web Proxy, comomyswp.example.com
Para fazer upload do certificado SSL no Gerenciador de certificados:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file=CERTIFICATE_PATH \ --private-key-file=KEY_PATH \ --location=REGION
Substitua:
CERTIFICATE_NAME
: o nome do certificado.CERTIFICATE_PATH
: o caminho para o arquivo de certificadoKEY_PATH
: o caminho para o arquivo de chave.
Para mais informações sobre certificados SSL, consulte Visão geral dos certificados SSL.
A seguir
- Implantar e testar uma instância do Secure Web Proxy
- Usar tags para criar políticas
- Usar uma lista de URLs para criar políticas
- Atribuir endereços IP estáticos para o tráfego de saída