Dokumen ini menjelaskan langkah-langkah penyiapan awal yang diperlukan untuk menggunakan Secure Web Proxy.
Mendapatkan peran dan izin IAM
Untuk mendapatkan izin yang Anda perlukan untuk menyediakan instance Secure Web Proxy, minta administrator Anda untuk memberi Anda peran IAM berikut di project Anda:
- Untuk mengonfigurasi kebijakan dan menyediakan instance Secure Web Proxy:
Peran Admin Jaringan Compute
(
roles/compute.networkAdmin) - Untuk mengupload sertifikat TLS Secure Web Proxy eksplisit:
Peran Editor Certificate Manager
(
roles/certificatemanager.editor)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Opsional: Jika Anda memiliki sekumpulan pengguna yang bertanggung jawab untuk mengelola
kebijakan keamanan organisasi Compute Engine Anda, berikan mereka
peran Admin Kebijakan Keamanan Organisasi Compute
(roles/compute.orgSecurityPolicyAdmin).
Untuk mengetahui informasi selengkapnya tentang peran dan izin project, lihat hal berikut:
- Dokumentasi Identity and Access Management
- Dokumentasi Compute Engine API
- Dokumentasi Cloud Monitoring API
Membuat Google Cloud project
Untuk membuat atau memilih Google Cloud project, ikuti langkah-langkah berikut:
Konsol
Di Google Cloud konsol, buka halaman pemilih project.
Buat project Google Cloud atau pilih project yang sudah ada.
gcloud
Anda dapat mengikuti salah satu langkah berikut:
Untuk membuat Google Cloud project, gunakan
gcloud projects createperintah.gcloud projects create PROJECT_IDGanti
PROJECT_IDdengan project ID unik.Untuk memilih project yang sudah ada, gunakan perintah
gcloud config setcommand. Google Cloudgcloud config set project PROJECT_ID
Mengaktifkan penagihan
Pastikan penagihan diaktifkan untuk project Anda Google Cloud . Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan, menonaktifkan, atau mengubah penagihan untuk project dan Memverifikasi status penagihan project Anda.
Mengaktifkan API yang diperlukan
Konsol
Di Google Cloud konsol, buka halaman Enable access to APIs.
Ikuti petunjuk untuk mengaktifkan API yang diperlukan ini: Compute Engine API, Certificate Manager API, Network Services API, dan Network Security API.
Opsional: Jika Anda berencana untuk mengonfigurasi pemeriksaan TLS untuk proxy Anda, Anda harus mengaktifkan Certificate Authority Service API.
gcloud
Untuk mengaktifkan API yang diperlukan Google Cloud , gunakan
gcloud services enable perintah.
gcloud services enable \
compute.googleapis.com \
certificatemanager.googleapis.com \
networkservices.googleapis.com \
networksecurity.googleapis.com \
privateca.googleapis.com
Opsional: Jika Anda berencana mengonfigurasi pemeriksaan TLS untuk proxy Anda, Anda harus mengaktifkan Certificate Authority Service (privateca.googleapis.com) API.
Membuat subnet VPC
Buat subnet di jaringan VPC untuk setiap region tempat Anda ingin men-deploy instance Secure Web Proxy. Jika sebelumnya Anda telah membuat subnet, Anda dapat menggunakannya kembali sebagai subnet VPC dengan menetapkan parameter purpose ke PRIVATE.
gcloud
Untuk membuat subnet, gunakan
gcloud compute networks subnets create perintah.
gcloud compute networks subnets create VPC_SUBNET_NAME \
--purpose=PRIVATE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Ganti kode berikut:
VPC_SUBNET_NAME: nama subnet VPC AndaREGION: region tempat Anda ingin men-deploy subnet VPC AndaNETWORK_NAME: nama jaringan VPC AndaIP_RANGE: rentang subnet, seperti10.10.10.0/24
Membuat subnet proxy
Buat subnet proxy untuk setiap region tempat Anda ingin men-deploy instance Secure Web Proxy.
Sebaiknya buat ukuran subnet /23, yang dapat menyimpan hingga 512 alamat khusus proxy. Secure Web Proxy menggunakan rentang ini untuk mengalokasikan kumpulan alamat IP khusus yang unik. Kumpulan yang dicadangkan ini membantu memastikan proxy memiliki kapasitas yang cukup untuk menangani penskalaan dan berinteraksi dengan aman dengan Cloud NAT dan tujuan di jaringan VPC Anda.
gcloud
Untuk membuat subnet proxy, gunakan
gcloud compute networks subnets create perintah.
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Ganti kode berikut:
PROXY_SUBNET_NAME: nama subnet proxy AndaREGION: region tempat Anda ingin men-deploy subnet proxyNETWORK_NAME: nama jaringan VPC AndaIP_RANGE: rentang subnet, seperti192.168.0.0/23
Men-deploy sertifikat TLS
Karena fungsi default dan paling dasar Secure Web Proxy—penerapan kebijakan tanpa pemeriksaan mendalam—tidak memerlukan sertifikat Transport Layer Security (TLS), sertifikat TLS (sebelumnya SSL) bersifat opsional untuk Secure Web Proxy.
Sertifikat TLS hanya diperlukan untuk Secure Web Proxy saat klien—beban kerja, aplikasi, atau perangkat dalam jaringan Anda—terhubung ke proxy menggunakan HTTPS. Untuk mengetahui informasi selengkapnya, lihat Ringkasan sertifikat SSL.
Untuk men-deploy sertifikat TLS menggunakan Certificate Manager, ikuti salah satu metode berikut:
Men-deploy sertifikat yang dikelola Google regional dengan otorisasi DNS per project
Men-deploy sertifikat yang dikelola Google regional dengan Certificate Authority Service
Contoh berikut menunjukkan cara men-deploy sertifikat yang dikelola sendiri regional menggunakan Certificate Manager:
Buat sertifikat TLS.
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"Ganti kode berikut:
KEY_PATH: jalur tempat menyimpan kunci pribadi, seperti~/key.pemCERTIFICATE_PATH: jalur tempat menyimpan sertifikat, seperti~/cert.pemSWP_HOST_NAME: nama host instance Secure Web Proxy Anda, sepertimyswp.example.com
Langkah berikutnya
- Membuat dan men-deploy instance Secure Web Proxy
- Mengaktifkan pemeriksaan TLS
- Membuat kebijakan
- Mengonfigurasi aturan