本頁面由 Cloud Translation API 翻譯而成。

初始設定步驟

本文說明使用 Secure Web Proxy 所需的初始設定步驟。

如要使用 Secure Web Proxy，請先完成下列設定：

取得必要的 Identity and Access Management 角色。
建立或選取 Google Cloud 專案。
啟用計費功能和相關的 Google Cloud API。
建立 Proxy 子網路。
將 SSL 憑證上傳至 Certificate Manager。

只有首次使用 Secure Web Proxy 時，才需要進行這項設定。

取得 IAM 角色

如要取得權限，請按照下列步驟操作：

如要取得佈建 Secure Web Proxy 執行個體所需的權限，請要求管理員為您授予專案的下列 IAM 角色：
- 如要設定政策並佈建 Secure Web Proxy 執行個體，請按照下列步驟操作： Compute 網路管理員角色 (roles/compute.networkAdmin)
- 如要上傳明確的 Secure Web Proxy TLS 憑證：憑證管理員編輯者角色 (roles/certificatemanager.editor)
如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。
選用：如果您有負責持續政策管理的使用者，請授予他們安全性政策管理員角色 (roles/compute.orgSecurityPolicyAdmin)，讓他們管理安全性政策。

建立 Google Cloud 專案

如要建立或選取 Google Cloud 專案，請按照下列步驟操作：

主控台

在 Google Cloud 控制台中，選取專案選擇器頁面中的專案或建立 Google Cloud 專案。

前往專案選取器

Cloud Shell

建立 Google Cloud 專案：
```
  gcloud projects create PROJECT_ID
```
將 PROJECT_ID 替換為您要使用的專案 ID。
選取您建立的 Google Cloud 專案：
```
  gcloud config set project PROJECT_ID
```

啟用計費功能和 API

如要啟用計費功能和相關 Google Cloud API，請按照下列步驟操作：

請確認您已為 Google Cloud 專案啟用計費功能。瞭解如何驗證專案的結帳狀態。
啟用 Compute Engine API。

啟用 API
啟用 Certificate Manager API。

啟用 API
啟用 Network Services API。

啟用 API
啟用 Network Security API。

啟用 API

建立 Proxy 子網路

為部署 Secure Web Proxy 的每個區域建立 Proxy 子網路。建立至少 /26 的子網路大小，或 64 個僅限 Proxy 的位址。我們建議使用 /23 的子網路大小，或 512 個僅限 Proxy 的位址，因為 Secure Web Proxy 的連線是由一組為 Secure Web Proxy 保留的 IP 位址提供。這個集區用於在每個 Proxy 的出口端分配專屬 IP 位址，以便與虛擬私有雲網路中的 Cloud NAT 和目的地互動。

gcloud

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

更改下列內容：

PROXY_SUBNET_NAME：您要為 Proxy 子網路使用的名稱
REGION：要部署 Proxy 子網路的區域
NETWORK_NAME：你的網路名稱
IP_RANGE：子網路範圍，例如 192.168.0.0/23

部署 SSL 憑證

SSL 憑證是 Secure Web Proxy 的選用項目。如要使用憑證管理工具部署憑證，請使用下列任一方法：

部署地區性 Google 代管憑證，並取得每個專案的 DNS 授權。詳情請參閱「部署區域性 Google 代管憑證」。
透過憑證授權單位服務部署區域性 Google 代管憑證。詳情請參閱「透過 CA 服務部署區域性 Google 代管憑證」。
部署區域自行管理的憑證。
以下範例說明如何使用憑證管理工具部署區域自管憑證。

如要建立 SSL 憑證，請按照下列步驟操作：
```
openssl req -x509 -newkey rsa:2048 \
  -keyout KEY_PATH \
  -out CERTIFICATE_PATH -days 365 \
  -subj '/CN=SWP_HOST_NAME' -nodes -addext \
  "subjectAltName=DNS:SWP_HOST_NAME"
```
更改下列內容：
- KEY_PATH：儲存金鑰的路徑，例如 ~/key.pem
- CERTIFICATE_PATH：儲存憑證的路徑，例如 ~/cert.pem
- SWP_HOST_NAME：Secure Web Proxy 例項的主機名稱，例如 myswp.example.com
如要將 SSL 憑證上傳至 Certificate Manager，請按照下列步驟操作：
```
gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file=CERTIFICATE_PATH \
   --private-key-file=KEY_PATH \
   --location=REGION
```
更改下列內容：
- CERTIFICATE_NAME：憑證名稱
- CERTIFICATE_PATH：憑證檔案路徑
- KEY_PATH：金鑰檔案的路徑
如要進一步瞭解 SSL 憑證，請參閱「SSL 憑證總覽」。