Este documento mostra como atribuir os seus próprios endereços IP empresariais ou endereços IP Google Cloud estáticos que o proxy Web seguro usa para o tráfego de saída.
Antes de começar
Conclua os passos de configuração inicial.
Certifique-se de que tem uma lista de endereços IPv4 estáticos reservados para utilização com o proxy Web seguro. Se quiser reservar endereços IP em Google Cloud, consulte o comando
gcloud compute addresses createpara criar um recurso de endereço.Verifique se tem a versão 406.0.0 ou posterior da Google Cloud CLI instalada:
gcloud version | head -n1Se tiver uma versão anterior da CLI gcloud instalada, atualize a versão:
gcloud components update --version=406.0.0
Ative endereços IP estáticos para o Secure Web Proxy
Faça o seguinte:
Identifique o nome do Cloud Router atribuído durante o aprovisionamento do Secure Web Proxy:
gcloud compute routers list \ --region REGION \ --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \ --format="get(name)"Substitua o seguinte:
REGION: a região na qual o Cloud Router está implementado para o Secure Web ProxyNETWORK_NAME: o nome da sua rede VPC
O resultado é semelhante ao seguinte:
swg-autogen-router-1Indique os endereços IP aprovisionados automaticamente externos atribuídos durante o aprovisionamento do proxy Web seguro:
gcloud compute routers get-status ROUTER_NAME \ --region=REGIONO resultado é semelhante ao seguinte:
kind: compute#routerStatusResponse result: natStatus: - autoAllocatedNatIps: - 34.144.80.46 - 34.144.83.75 - 34.144.88.111 - 34.144.94.113 minExtraNatIpsNeeded: 0 name: swg-autogen-nat numVmEndpointsWithNatMappings: 3 network: https://www.googleapis.com/compute/projects/PROJECT_NAME/global/networks/NETWORK_NAMEAtualize a gateway do Cloud NAT para usar o seu intervalo de IPs predefinido:
gcloud compute routers nats update swg-autogen-nat \ --router=ROUTER_NAME \ --nat-external-ip-pool=IPv4_ADDRESSES... \ --region=REGIONSubstitua
IPv4_ADDRESSESpelo nome do recurso de endereço IPv4 externo que pretende usar, separado por uma vírgula (,).Verifique se o seu intervalo de IPs está atribuído ao gateway NAT da nuvem:
gcloud compute routers nats describe swg-autogen-nat \ --router=ROUTER_NAME \ --region=REGIONO resultado é semelhante ao seguinte:
enableEndpointIndependentMapping: false icmpIdleTimeoutSec: 30 logConfig: enable: false filter: ALL name: swg-autogen-nat natIpAllocateOption: MANUAL_ONLY natIps: - https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGESAtualize a gateway do Cloud NAT para usar o modo de atribuição dinâmica de portas (DPA). O modo DPA permite que o proxy Web seguro use totalmente os endereços IP atribuídos.
gcloud compute routers nats update swg-autogen-nat \ --router=ROUTER_NAME \ --min-ports-per-vm=2048 \ --max-ports-per-vm=4096 \ --enable-dynamic-port-allocation \ --region=REGIONPara as flags
--min-ports-per-vme--max-ports-per-vm, recomendamos que use os valores2048e4096, respetivamente.Use o Explorador de métricas para monitorizar os dados de métricas para o seguinte e ajustar os valores mínimos e máximos dos APD conforme necessário:
Cloud NAT Gateway - Port usageCloud NAT Gateway - New connection countCloud NAT Gateway - Open connections
Verifique se a DPA está ativada e se os valores mínimo e máximo da porta estão definidos:
gcloud compute routers nats describe swg-autogen-nat \ --router=ROUTER_NAME \ --region=REGIONO resultado é semelhante ao seguinte:
enableDynamicPortAllocation: true enableEndpointIndependentMapping: false endpointTypes: - ENDPOINT_TYPE_SWG logConfig: enable: true filter: ERRORS_ONLY maxPortsPerVm: 4096 minPortsPerVm: 2048 name: swg-autogen-nat natIpAllocateOption: MANUAL_ONLY natIps: - https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES type: PUBLIC