In diesem Dokument werden die ersten Einrichtungsschritte beschrieben, die für die Verwendung von Secure Web Proxy erforderlich sind.
IAM-Rollen und ‑Berechtigungen abrufen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Bereitstellen einer Secure Web Proxy-Instanz benötigen:
- Zum Konfigurieren von Richtlinien und Bereitstellen einer Secure Web Proxy-Instanz:
Rolle „Compute Network Admin“
(
roles/compute.networkAdmin) - Zum Hochladen expliziter Secure Web Proxy-TLS-Zertifikate:
Rolle „Certificate Manager Editor“
(
roles/certificatemanager.editor)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Optional: Wenn Sie eine Gruppe von Nutzern haben, die für die Verwaltung der
Sicherheitspolicys Ihrer Compute Engine-Organisation verantwortlich sind, weisen Sie ihnen die
Rolle „Compute Organization Security Policy Admin“
(roles/compute.orgSecurityPolicyAdmin) zu.
Weitere Informationen zu Projektrollen und Berechtigungen finden Sie hier:
- Dokumentation zur Identitäts- und Zugriffsverwaltung
- Compute Engine API-Dokumentation
- Dokumentation zur Cloud Monitoring-API
ein Projekt Google Cloud erstellen
So erstellen oder wählen Sie ein Google Cloud Projekt aus:
Console
Wechseln Sie in der Google Cloud Console zur Seite für die Projektauswahl.
Erstellen Sie ein Google Cloud Projektoder wählen Sie ein vorhandenes aus.
gcloud
Sie haben folgende Möglichkeiten:
Verwenden Sie den
gcloud projects createBefehl, um ein Google Cloud Projekt zu erstellen.gcloud projects create PROJECT_IDErsetzen Sie
PROJECT_IDdurch eine eindeutige Projekt-ID.Verwenden Sie den
gcloud config setBefehl, um ein vorhandenes Google Cloud Projekt auszuwählen.gcloud config set project PROJECT_ID
Abrechnung aktivieren
Die Abrechnung für Ihr Google Cloud Projekt muss aktiviert sein. Weitere Informationen finden Sie unter Abrechnung für ein Projekt aktivieren, deaktivieren oder ändern und Abrechnungsstatus Ihrer Projekte prüfen.
Erforderliche APIs aktivieren
Console
Wechseln Sie in der Google Cloud Console zur Seite Zugriff auf APIs aktivieren.
Folgen Sie der Anleitung, um diese erforderlichen APIs zu aktivieren: Compute Engine API, Certificate Manager API, Network Services API und Network Security API.
Optional: Wenn Sie die TLS-Prüfung für Ihren Proxy konfigurieren möchten, müssen Sie die Certificate Authority Service API aktivieren.
gcloud
Verwenden Sie den
gcloud services enable Befehl, um die erforderlichen Google Cloud APIs zu aktivieren.
gcloud services enable \
compute.googleapis.com \
certificatemanager.googleapis.com \
networkservices.googleapis.com \
networksecurity.googleapis.com \
privateca.googleapis.com
Optional: Wenn Sie die TLS-Prüfung für Ihren Proxy konfigurieren möchten, müssen Sie die Certificate Authority Service API (privateca.googleapis.com) aktivieren.
VPC-Subnetz erstellen
Erstellen Sie in jeder Region, in der Sie Ihre Secure Web Proxy-Instanz bereitstellen möchten, ein Subnetz im VPC-Netzwerk. Wenn Sie bereits ein Subnetz erstellt haben, können Sie es als VPC-Subnetz wiederverwenden, indem Sie den Parameter purpose auf PRIVATE setzen.
gcloud
Verwenden Sie den
gcloud compute networks subnets create Befehl, um ein Subnetz zu erstellen.
gcloud compute networks subnets create VPC_SUBNET_NAME \
--purpose=PRIVATE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Ersetzen Sie Folgendes:
VPC_SUBNET_NAME: Name Ihres VPC-SubnetzesREGION: Region, in der Sie Ihr VPC-Subnetz bereitstellen möchtenNETWORK_NAME: Name Ihres VPC-NetzwerksIP_RANGE: Subnetzbereich, z. B.10.10.10.0/24
Proxy-Subnetz erstellen
Erstellen Sie in jeder Region, in der Sie Ihre Secure Web Proxy-Instanz bereitstellen möchten, ein Proxy-Subnetz.
Wir empfehlen eine Subnetzgröße von /23, die bis zu 512 Nur-Proxy-Adressen aufnehmen kann. Secure Web Proxy verwendet diesen Bereich, um einen dedizierten Pool eindeutiger IP-Adressen zuzuweisen. Dieser reservierte Pool sorgt dafür, dass der Proxy genügend Kapazität hat, um die Skalierung zu bewältigen und sicher mit Cloud NAT und Zielen in Ihrem VPC-Netzwerk zu interagieren.
gcloud
Verwenden Sie den
gcloud compute networks subnets create Befehl, um ein Proxy-Subnetz zu erstellen.
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Ersetzen Sie Folgendes:
PROXY_SUBNET_NAME: Name Ihres Proxy-SubnetzesREGION: Region, in der Sie das Proxy-Subnetz bereitstellen möchtenNETWORK_NAME: Name Ihres VPC-NetzwerksIP_RANGE: Subnetzbereich, z. B.192.168.0.0/23
TLS-Zertifikat bereitstellen
Da für die Standard- und grundlegendste Funktion von Secure Web Proxy – die Richtlinien erzwingung ohne eingehende Prüfung – keine Transport Layer Security (TLS) Zertifikate erforderlich sind, sind TLS (früher SSL) Zertifikate für Secure Web Proxy optional.
TLS-Zertifikate sind für Secure Web Proxy nur erforderlich, wenn Clients – die Arbeitslasten, Anwendungen oder Geräte in Ihrem Netzwerk – über HTTPS eine Verbindung zum Proxy herstellen. Weitere Informationen finden Sie in der Übersicht zu SSL-Zertifikaten.
Verwenden Sie eine der folgenden Methoden, um TLS-Zertifikate mit Zertifikatmanager bereitzustellen:
Regionales von Google verwaltetes Zertifikat mit DNS-Autorisierung pro Projekt bereitstellen
Regionales von Google verwaltetes Zertifikat mit Certificate Authority Service bereitstellen
Im folgenden Beispiel wird gezeigt, wie Sie ein regionales selbstverwaltetes Zertifikat mit Zertifikatmanager bereitstellen:
Erstellen Sie ein TLS-Zertifikat.
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"Ersetzen Sie Folgendes:
KEY_PATH: Pfad, unter dem der private Schlüssel gespeichert werden soll, z. B.~/key.pemCERTIFICATE_PATH: Pfad, unter dem das Zertifikat gespeichert werden soll, z. B.~/cert.pemSWP_HOST_NAME: Hostname Ihrer Secure Web Proxy-Instanz, z. B.myswp.example.com
Stellen Sie das TLS-Zertifikat auf einem Load Balancer bereit.
Nächste Schritte
- Secure Web Proxy-Instanz erstellen und bereitstellen
- TLS-Prüfung aktivieren
- Richtlinie erstellen
- Regeln konfigurieren