Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הקצאת כתובות IP סטטיות לתעבורת נתונים יוצאת

כברירת מחדל, Secure Web Proxy משתמש בשער מנוהל של Cloud NAT ‏(swg-autogen-nat) לתעבורת אינטרנט יוצאת, שבדרך כלל משתמשת בכתובות IP שמוקצות באופן אוטומטי. בדף הזה מוסבר איך להגדיר את שער Cloud NAT כך שישתמש בקבוצה ספציפית של כתובות IPv4 חיצוניות סטטיות שבבעלותכם ושמנוהלות ב Google Cloud פרויקט. כל התנועה היוצאת מעומסי העבודה שלכם שמנותבת דרך Secure Web Proxy מגיעה מאחד מכתובות ה-IP הסטטיות שהוגדרו מראש.

אלה כמה מהיתרונות העיקריים של הקצאת כתובות IP סטטיות לתנועה היוצאת:

כתובות IP צפויות של מקורות תנועה יוצאת: מאפשרת לשירותים חיצוניים, לשותפים ולחומות אש מקומיות להוסיף את כתובות ה-IP הספציפיות שלכם לרשימות המורשות שלהם, וכך לוודא שהתנועה ממופע Secure Web Proxy תתקבל. הפעולה הזו חיונית כדי לגשת למשאבים שמוגנים על ידי רשימות של בקרת גישה (ACL) שמבוססות על כתובות IP.
הקצאה דינמית של יציאות (DPA): הקצאה יעילה של יציאות מקור זמינות מתוך קבוצת כתובות ה-IP הסטטיות שהקציתם לתנועה יוצאת. ‫DPA מאפשר לכם לנהל את נפח העבודה של התנועה היוצאת עם מספר מוגבל של כתובות IP סטטיות, בלי להשתמש בכל היציאות הזמינות. מידע נוסף מופיע במאמר בנושא הקצאת יציאות דינאמית.
שיפור רמת האבטחה: מספק קבוצה קטנה ומוכרת של כתובות IP לניהול ולמעקב, וכך מפשט את ביקורות האבטחה ואת ניתוח האיומים.
שילוב משופר עם צד שלישי: מאפשר שילוב חלק עם ספקי SaaS וממשקי API שדורשים או ממליצים על רשימות של כתובות IP מורשות לשיפור האבטחה.
תאימות פשוטה יותר: הכלי עוזר לעמוד בדרישות התאימות לכל נקודות התנועה היוצאת ולכתובות ה-IP המשויכות להן.

לפני שמתחילים

משלימים את השלבים להגדרה הראשונית.
שומרים רשימה של כתובות IPv4 סטטיות לשימוש במופע של Secure Web Proxy. לפני ששומרים כתובות IP ב- Google Cloud, צריך לוודא שיצרתם משאב כתובת באמצעות הפקודה gcloud compute addresses create.
מוודאים שמותקנת אצלכם גרסה 406.0.0 או גרסה מתקדמת יותר של Google Cloud CLI:
```
gcloud version | head -n1
```
אם מותקנת אצלכם גרסה קודמת של ה-CLI של gcloud, צריך לעדכן את הגרסה:
```
gcloud components update --version=406.0.0
```

הגדרת כתובות IP סטטיות ל-Secure Web Proxy

המסוף

נכנסים לדף Cloud NAT במסוף Google Cloud .

כניסה ל-Cloud NAT
מאתרים את שער Cloud NAT שמופעל על ידי מופע Secure Web Proxy. השם שלו יהיה swg-autogen-nat, והוא ישויך ל-Cloud NAT (עם שם בפורמט swg-autogen-router-YYYY) באזור המתאים וברשת ענן וירטואלי פרטי (VPC).
כדי לעבור לדף הפרטים של שער Cloud NAT, לוחצים על swg-autogen-nat שם השער. ייפתח הדף פרטי שער Cloud NAT.
לוחצים על Edit. ייפתח הדף Edit Cloud NAT gateway.
בקטע כתובות IP של Cloud NAT, משנים את ההגדרה מאוטומטי (מומלץ) לידני.
בקטע IP addresses, בוחרים את כתובות ה-IP הסטטיות שהזמנתם. מידע נוסף זמין במאמר בנושא הגדרת כתובות IP של Cloud NAT ל-Secure Web Proxy.

כדי להוסיף כמה כתובות IP, לוחצים על הלחצן הוספת כתובת IP.
מרחיבים את הקטע הגדרות מתקדמות ומסמנים את התיבה הפעלת הקצאת יציאות דינמית.
בשדה Min ports per VM (מספר היציאות המינימלי לכל מכונה וירטואלית), מומלץ להזין 2048.
בשדה Max ports per VM (מספר היציאות המקסימלי לכל מכונה וירטואלית), מומלץ להזין 4096.
לוחצים על Save.
אחרי ששומרים את השינויים, צריך לוודא את הדברים הבאים:
1. בדף הפרטים של שער Cloud NAT, בודקים שבקטע כתובות IP מופיעות עכשיו כתובות ה-IP הסטטיות שבחרתם באופן ידני.
2. מוודאים שהאפשרות הקצאת יציאות דינמית מופעלת עבור היציאות המינימליות והמקסימליות הנכונות לכל מכונה וירטואלית (VM) שהגדרתם קודם.

Cloud Shell

כדי לזהות את השם של Cloud Router שהוקצה במהלך הקצאת המשאבים של מופע Secure Web Proxy, משתמשים בפקודה gcloud compute routers list.
```
gcloud compute routers list \
    --region REGION \
    --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
    --format="get(name)"
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫REGION: האזור שבו Cloud Router נפרס עבור מופע Secure Web Proxy שלכם
- ‫NETWORK_NAME: השם של רשת ה-VPC
הפלט אמור להיראות כך:
```
swg-autogen-router-1
```
כדי להציג רשימה של כתובות IP חיצוניות שהוקצו אוטומטית במהלך הקצאת המשאבים של מופע Secure Web Proxy, משתמשים בפקודה gcloud compute routers get-status.
```
gcloud compute routers get-status ROUTER_NAME  \
    --region=REGION
```
הפלט אמור להיראות כך:
```
kind: compute#routerStatusResponse
result:
  natStatus:
  - autoAllocatedNatIps:
    - 34.144.80.46
    - 34.144.83.75
    - 34.144.88.111
    - 34.144.94.113
    minExtraNatIpsNeeded: 0
    name: swg-autogen-nat
    numVmEndpointsWithNatMappings: 3
  network: https://www.googleapis.com/compute/projects/PROJECT_NAME/global/networks/NETWORK_NAME
```
הפלט הזה כולל את הערכים הבאים:
- ‫PROJECT_NAME: שם הפרויקט ב- Google Cloud
- ‫NETWORK_NAME: השם של רשת ה-VPC
הערה: בפלט הקודם, ל-Cloud NAT gateway‏ swg-autogen-nat יש ארבע כתובות IP שהוקצו אוטומטית. ה-Secure Web Proxy יכול להגדיל או להקטין באופן אוטומטי את כתובות ה-IP של Cloud NAT שהוקצו, בהתאם לעומס העבודה שלכם. Google Cloud
כדי לעדכן את שער Cloud NAT כך שישתמש בטווח כתובות ה-IP שהגדרתם מראש, משתמשים בפקודה gcloud compute routers nats update.
```
gcloud compute routers nats update swg-autogen-nat  \
    --router=ROUTER_NAME \
    --nat-external-ip-pool=IPv4_ADDRESSES... \
    --region=REGION
```
מחליפים את IPv4_ADDRESSES בשם של משאב כתובת IPv4 חיצונית שרוצים להשתמש בו, מופרד בפסיק (,).

כדי לוודא שטוח כתובות ה-IP מוקצה לשער Cloud NAT, משתמשים בפקודה gcloud compute routers nats describe.

gcloud compute routers nats describe swg-autogen-nat \
    --router=ROUTER_NAME  \
    --region=REGION

הפלט אמור להיראות כך:

enableEndpointIndependentMapping: false
icmpIdleTimeoutSec: 30
logConfig:
  enable: false
  filter: ALL
name: swg-autogen-nat
natIpAllocateOption: MANUAL_ONLY
natIps:
- https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES

הפלט הזה כולל את הערכים הבאים:

‫PROJECT_NAME: שם הפרויקט ב- Google Cloud
‫REGION: האזור שבו נפרס שער Cloud NAT
‫ADDRESS: השם של משאב כתובת ה-IPv4 הסטטית

כדי לעדכן את שער Cloud NAT לשימוש במצב הקצאה דינמית של יציאות (DPA), משתמשים בפקודה gcloud compute routers nats update. מצב DPA מאפשר למופע של Secure Web Proxy להשתמש בכתובות ה-IP שהוקצו לו.
```
gcloud compute routers nats update swg-autogen-nat  \
    --router=ROUTER_NAME \
    --min-ports-per-vm=2048 \
    --max-ports-per-vm=4096 \
    --enable-dynamic-port-allocation \
    --region=REGION
```
לדגלים --min-ports-per-vm ו---max-ports-per-vm, מומלץ להגדיר את הערכים 2048 ו-4096, בהתאמה.

משתמשים בMetrics Explorer כדי לעקוב אחרי נתוני המדדים הבאים, ומשנים את הערכים המינימליים והמקסימליים של DPA לפי הצורך:
- Cloud NAT Gateway - Port usage
- Cloud NAT Gateway - New connection count
- Cloud NAT Gateway - Open connections
כדי לוודא ש-DPA מופעלים וערכי היציאה המינימליים והמקסימליים מוגדרים, משתמשים בפקודה gcloud compute routers nats describe.
```
gcloud compute routers nats describe swg-autogen-nat \
    --router=ROUTER_NAME \
    --region=REGION
```
בודקים את הפלט של natIpAllocateOption: MANUAL_ONLY כדי לוודא שרשימת natIps כתובות ה-IP הסטטיות כוללת את כתובות ה-IP שלכם.

הפלט אמור להיראות כך:
```
enableDynamicPortAllocation: true
enableEndpointIndependentMapping: false
endpointTypes:
- ENDPOINT_TYPE_SWG
logConfig:
  enable: true
  filter: ERRORS_ONLY
maxPortsPerVm: 4096
minPortsPerVm: 2048
name: swg-autogen-nat
natIpAllocateOption: MANUAL_ONLY
natIps:
- https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES
type: PUBLIC
```
הפלט הזה כולל את הערכים הבאים:
- ‫PROJECT_NAME: שם הפרויקט ב- Google Cloud
- ‫REGION: האזור שבו נפרס שער Cloud NAT
- ‫ADDRESS: השם של משאב כתובת ה-IPv4 הסטטית