Esta página foi traduzida pela API Cloud Translation.

Etapas iniciais de configuração

Este documento descreve as etapas de configuração inicial necessárias para usar o Secure Web Proxy.

Antes de usar o proxy seguro, conclua a seguinte configuração:

Receba os papéis necessários do Identity and Access Management.
Crie ou selecione um Google Cloud projeto.
Ative o faturamento e as APIs Google Cloud relevantes.
Crie sub-redes de proxy.
Faça upload de um certificado SSL no Gerenciador de certificados.

Essa configuração só é necessária na primeira vez que você usa o proxy seguro da Web.

Receber papéis do IAM

Para conseguir permissões, siga estas etapas:

Para receber as permissões necessárias para provisionar uma instância do Secure Web Proxy, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:
- Para configurar políticas e provisionar uma instância do Secure Web Proxy: Papel de administrador de rede do Compute (roles/compute.networkAdmin)
- Para fazer upload de certificados TLS explícitos do Secure Web Proxy: Papel de editor do Gerenciador de certificados (roles/certificatemanager.editor)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
Opcional: se você tiver um conjunto de usuários responsáveis pelo gerenciamento contínuo de políticas, conceda a eles o papel de administrador de políticas de segurança (roles/compute.orgSecurityPolicyAdmin) para que possam gerenciar as políticas de segurança.

Criar um projeto Google Cloud

Para criar ou selecionar um projeto Google Cloud , siga estas etapas:

Console

No console do Google Cloud , na página do seletor de projetos, selecione ou crie um projeto do Google Cloud .

Acessar o seletor de projetos

Cloud Shell

Crie um Google Cloud projeto:
```
  gcloud projects create PROJECT_ID
```
Substitua PROJECT_ID pelo ID do projeto que você quer.
Selecione o projeto Google Cloud que você criou:
```
  gcloud config set project PROJECT_ID
```

Ativar faturamento e APIs

Para ativar o faturamento e as APIs Google Cloud relevantes, siga estas etapas:

Verifique se o faturamento está ativado para seu projeto do Google Cloud . Saiba como verificar o status de faturamento dos seus projetos.
Ative a API Compute Engine.

Ativar a API
Ative a API Certificate Manager.

Ativar a API
Ative a API Network Services.

Ativar a API
Ative a API Network Security.

Ativar a API

Criar uma sub-rede de proxy

Crie uma sub-rede de proxy para cada região em que você implanta o Secure Web Proxy. Crie uma sub-rede de pelo menos /26 ou 64 endereços somente proxy. Recomendamos um tamanho de sub-rede de /23, ou 512 endereços somente proxy, porque a conectividade do Secure Web Proxy é fornecida por um pool de endereços IP reservados para o Secure Web Proxy. Esse pool é usado para alocar endereços IP exclusivos no lado de saída de cada proxy para interação com o Cloud NAT e destinos na rede VPC.

gcloud

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Substitua:

PROXY_SUBNET_NAME: o nome que você quer dar à sub-rede de proxy
REGION: a região em que a sub-rede de proxy será implantada
NETWORK_NAME: o nome da sua rede
IP_RANGE: o intervalo de sub-rede, como 192.168.0.0/23

Implantar um certificado SSL

Os certificados SSL são opcionais para o Secure Web Proxy. Para implantar certificados usando o Gerenciador de certificados, use um dos seguintes métodos:

Implante um certificado regional gerenciado pelo Google com autorização de DNS por projeto. Para mais informações, consulte Implantar um certificado regional gerenciado pelo Google.
Implante um certificado regional gerenciado pelo Google com o Certificate Authority Service. Para mais informações, consulte Implantar um certificado regional gerenciado pelo Google com o serviço de AC.
Implante um certificado autogerenciado regional.
O exemplo a seguir mostra como implantar um certificado autogerenciado regional usando o Certificate Manager.

Para criar um certificado SSL:
```
openssl req -x509 -newkey rsa:2048 \
  -keyout KEY_PATH \
  -out CERTIFICATE_PATH -days 365 \
  -subj '/CN=SWP_HOST_NAME' -nodes -addext \
  "subjectAltName=DNS:SWP_HOST_NAME"
```
Substitua:
- KEY_PATH: o caminho para salvar a chave, como ~/key.pem
- CERTIFICATE_PATH: o caminho para salvar o certificado, como ~/cert.pem
- SWP_HOST_NAME: o nome do host da sua instância do Proxy seguro da Web, como myswp.example.com
Para fazer upload do certificado SSL no Gerenciador de certificados:
```
gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file=CERTIFICATE_PATH \
   --private-key-file=KEY_PATH \
   --location=REGION
```
Substitua:
- CERTIFICATE_NAME: o nome do seu certificado
- CERTIFICATE_PATH: o caminho para o arquivo de certificado
- KEY_PATH: o caminho para o arquivo de chave
Para mais informações sobre certificados SSL, consulte Visão geral dos certificados SSL.