Questo documento mostra come assegnare gli indirizzi IP della tua azienda o gli indirizzi IP Google Cloud statici Google Cloud che il proxy web sicuro utilizza per il traffico in uscita.
Prima di iniziare
Completa i passaggi della configurazione iniziale.
Assicurati di avere un elenco di indirizzi IPv4 statici riservati per l'utilizzo di Proxy web sicuro. Se vuoi prenotare indirizzi IP in Google Cloud, consulta il comando
gcloud compute addresses createper creare una risorsa indirizzo.Verifica di aver installato la versione 406.0.0 o successiva di Google Cloud CLI:
gcloud version | head -n1Se hai installato una versione precedente di gcloud CLI, aggiornala:
gcloud components update --version=406.0.0
Attivare gli indirizzi IP statici per Secure Web Proxy
Segui questi passaggi:
Identifica il nome del router cloud assegnato durante il provisioning di Secure Web Proxy:
gcloud compute routers list \ --region REGION \ --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \ --format="get(name)"Sostituisci quanto segue:
REGION: la regione in cui è disegnato il Router Cloud per Secure Web ProxyNETWORK_NAME: il nome della rete VPC
L'output è simile al seguente:
swg-autogen-router-1Elenca gli indirizzi IP esterni di cui è stato eseguito il provisioning automatico assegnati durante il provisioning di Proxy web sicuro:
gcloud compute routers get-status ROUTER_NAME \ --region=REGIONL'output è simile al seguente:
kind: compute#routerStatusResponse result: natStatus: - autoAllocatedNatIps: - 34.144.80.46 - 34.144.83.75 - 34.144.88.111 - 34.144.94.113 minExtraNatIpsNeeded: 0 name: swg-autogen-nat numVmEndpointsWithNatMappings: 3 network: https://www.googleapis.com/compute/projects/PROJECT_NAME/global/networks/NETWORK_NAMEAggiorna il gateway Cloud NAT in modo che utilizzi l'intervallo IP predefinito:
gcloud compute routers nats update swg-autogen-nat \ --router=ROUTER_NAME \ --nat-external-ip-pool=IPv4_ADDRESSES... \ --region=REGIONSostituisci
IPv4_ADDRESSEScon il nome della risorsa dell'indirizzo IPv4 esterno che intendi utilizzare, separata da una virgola (,).Verifica che l'intervallo IP sia assegnato al gateway Cloud NAT:
gcloud compute routers nats describe swg-autogen-nat \ --router=ROUTER_NAME \ --region=REGIONL'output è simile al seguente:
enableEndpointIndependentMapping: false icmpIdleTimeoutSec: 30 logConfig: enable: false filter: ALL name: swg-autogen-nat natIpAllocateOption: MANUAL_ONLY natIps: - https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGESAggiorna il gateway Cloud NAT in modo da utilizzare la modalità di allocazione dinamica delle porte (DPA). La modalità DPA consente a Secure Web Proxy di utilizzare completamente gli indirizzi IP assegnati.
gcloud compute routers nats update swg-autogen-nat \ --router=ROUTER_NAME \ --min-ports-per-vm=2048 \ --max-ports-per-vm=4096 \ --enable-dynamic-port-allocation \ --region=REGIONPer i flag
--min-ports-per-vme--max-ports-per-vm, ti consigliamo di utilizzare rispettivamente i valori2048e4096.Utilizza Metrics Explorer per monitorare i dati delle metriche per quanto segue e modificare i valori minimo e massimo del DPA in base alle esigenze:
Cloud NAT Gateway - Port usageCloud NAT Gateway - New connection countCloud NAT Gateway - Open connections
Verifica che l'allocazione dinamica delle porte sia attivata e che i valori minimo e massimo della porta siano impostati:
gcloud compute routers nats describe swg-autogen-nat \ --router=ROUTER_NAME \ --region=REGIONL'output è simile al seguente:
enableDynamicPortAllocation: true enableEndpointIndependentMapping: false endpointTypes: - ENDPOINT_TYPE_SWG logConfig: enable: true filter: ERRORS_ONLY maxPortsPerVm: 4096 minPortsPerVm: 2048 name: swg-autogen-nat natIpAllocateOption: MANUAL_ONLY natIps: - https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES type: PUBLIC