Este documento descreve as etapas de configuração inicial necessárias para usar o Secure Web Proxy.
Receber permissões e papéis do IAM
Para receber as permissões necessárias para provisionar uma instância do Secure Web Proxy, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:
- Para configurar políticas e provisionar uma instância do Secure Web Proxy:
papel de administrador de rede do Compute
(
roles/compute.networkAdmin) - Para fazer upload de certificados TLS explícitos do Secure Web Proxy:
papel de Editor do Certificate Manager
(
roles/certificatemanager.editor)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível receber as permissões necessárias através de papéis personalizados ou outros papéis predefinidos.
Opcional: se você tiver um conjunto de usuários responsáveis por gerenciar as políticas de segurança da organização do Compute Engine, conceda a eles o papel de administrador de políticas de segurança da organização do Compute (roles/compute.orgSecurityPolicyAdmin).
Para mais informações sobre papéis e permissões de projeto, consulte:
- Documentação do Identity and Access Management
- Documentação da API Compute Engine
- Documentação da API Cloud Monitoring
Crie um Google Cloud projeto do .
Para criar ou selecionar um Google Cloud projeto, siga estas etapas:
Console
No Google Cloud console do, acesse a página Seletor de Projetos.
Crie um projeto ou selecione um projeto atual. Google Cloud
gcloud
Siga uma destas etapas:
Para criar um Google Cloud projeto, use o
gcloud projects createcomando.gcloud projects create PROJECT_IDSubstitua
PROJECT_IDpor um ID do projeto exclusivo.Para selecionar um Google Cloud projeto, use o
gcloud config setcomando.gcloud config set project PROJECT_ID
Ativar faturamento
Verifique se o faturamento foi ativado para o Google Cloud projeto. Para mais informações, consulte Ativar, desativar ou alterar o faturamento de um projeto e Verificar o status de faturamento dos projetos.
Ative as APIs necessárias
Console
No Google Cloud console do, acesse a página Ativar acesso às APIs.
Acessar a página "Ativar acesso às APIs"
Siga as instruções para ativar estas APIs necessárias: API Compute Engine, API Certificate Manager, API Network Services e API Network Security.
Opcional: se você planeja configurar a inspeção TLS para seu proxy, ative a API Certificate Authority Service.
gcloud
Para ativar as Google Cloud APIs necessárias, use o
gcloud services enable comando.
gcloud services enable \
compute.googleapis.com \
certificatemanager.googleapis.com \
networkservices.googleapis.com \
networksecurity.googleapis.com \
privateca.googleapis.com
Opcional: se você planeja configurar a inspeção TLS para seu proxy, ative a API Certificate Authority Service (privateca.googleapis.com).
Criar uma sub-rede VPC
Crie uma sub-rede na rede VPC para cada região em que você quer implantar a instância do Secure Web Proxy. Se você já criou uma sub-rede, é possível reutilizá-la como uma sub-rede VPC definindo o parâmetro purpose como PRIVATE.
gcloud
Para criar uma sub-rede, use o
gcloud compute networks subnets create comando.
gcloud compute networks subnets create VPC_SUBNET_NAME \
--purpose=PRIVATE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Substitua:
VPC_SUBNET_NAME: nome da sub-rede VPC.REGION: região em que você quer implantar a sub-rede VPC.NETWORK_NAME: nome da rede VPC.IP_RANGE: intervalo de sub-rede, como10.10.10.0/24.
Criar uma sub-rede de proxy
Crie uma sub-rede de proxy para cada região em que você quer implantar a instância do Secure Web Proxy.
Recomendamos que você crie um tamanho de sub-rede de /23, que pode armazenar até 512 endereços somente proxy. O Secure Web Proxy usa esse intervalo para alocar um pool dedicado de endereços IP exclusivos. Esse pool reservado ajuda a garantir que o proxy tenha capacidade suficiente para lidar com o escalonamento e interagir com segurança com o Cloud NAT e os destinos na rede VPC.
gcloud
Para criar uma sub-rede de proxy, use o
gcloud compute networks subnets create comando.
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Substitua:
PROXY_SUBNET_NAME: nome da sub-rede de proxy.REGION: região em que você quer implantar a sub-rede de proxy.NETWORK_NAME: nome da rede VPC.IP_RANGE: intervalo de sub-rede, como192.168.0.0/23.
Implantar um certificado TLS
Como a função padrão e mais básica do Secure Web Proxy (aplicação de políticas sem inspeção detalhada) não exige certificados do Transport Layer Security (TLS), os certificados TLS (antigamente SSL) são opcionais para o Secure Web Proxy.
Os certificados TLS são necessários para o Secure Web Proxy somente quando os clientes (cargas de trabalho, aplicativos ou dispositivos na rede) se conectam ao proxy usando HTTPS. Para mais informações, consulte a visão geral dos certificados SSL.
Para implantar certificados TLS usando o Certificate Manager, siga um destes métodos:
Implantar um certificado regional gerenciado pelo Google com autorização de DNS por projeto
Implantar um certificado regional gerenciado pelo Google com o Certificate Authority Service
O exemplo a seguir mostra como implantar um certificado autogerenciado regional usando o Certificate Manager:
Criar um certificado TLS.
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"Substitua:
KEY_PATH: caminho em que a chave privada será salva, como~/key.pemCERTIFICATE_PATH: caminho em que o certificado será salvo, como~/cert.pemSWP_HOST_NAME: nome do host da instância do Secure Web Proxy, comomyswp.example.com
A seguir
- Criar e implantar uma instância do Secure Web Proxy
- Ativar inspeção TLS
- Criar uma política
- Configurar regras