本文說明使用 Secure Web Proxy 時必須完成的初始設定步驟。
取得 IAM 角色和權限
如要取得佈建 Secure Web Proxy 執行個體所需的權限,請要求管理員授予您專案的下列 IAM 角色:
- 如要設定政策及佈建 Secure Web Proxy 執行個體:Compute 網路管理員角色 (
roles/compute.networkAdmin) - 如要上傳明確的 Secure Web Proxy TLS 憑證:憑證管理員編輯者角色 (
roles/certificatemanager.editor)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
您或許也能透過自訂角色或其他預先定義的角色,取得必要權限。
選用步驟:如果有一組使用者負責管理 Compute Engine 機構安全性政策,請將 Compute 機構安全性政策管理員角色 (roles/compute.orgSecurityPolicyAdmin) 授予他們。
如要進一步瞭解專案角色和權限,請參閱下列文章:
建立 Google Cloud 專案
如要建立或選取 Google Cloud 專案,請按照下列步驟操作:
控制台
前往 Google Cloud 控制台的專案選擇器頁面。
建立專案 Google Cloud 或選取現有專案。
gcloud
你可以按照下列其中一個步驟操作:
如要建立 Google Cloud 專案,請使用
gcloud projects create指令。gcloud projects create PROJECT_ID將
PROJECT_ID替換為專屬專案 ID。如要選取現有 Google Cloud 專案,請使用
gcloud config set指令。gcloud config set project PROJECT_ID
啟用計費功能
請確認您已為 Google Cloud 專案啟用計費功能。詳情請參閱「啟用、停用或變更專案的計費功能」和「確認專案的帳單狀態」。
啟用必用的 API。
控制台
前往 Google Cloud 控制台的「Enable access to APIs」(啟用 API 存取權) 頁面。
按照操作說明啟用下列必要 API:Compute Engine API、Certificate Manager API、Network Services API 和 Network Security API。
選用:如果您打算為 Proxy 設定 TLS 檢查,則必須啟用憑證授權單位服務 API。
gcloud
如要啟用必要的 Google Cloud API,請使用 gcloud services enable 指令。
gcloud services enable \
--compute.googleapis.com \
--certificatemanager.googleapis.com \
--networkservices.googleapis.com \
--networksecurity.googleapis.com \
--privateca.googleapis.com
選用:如要為 Proxy 設定 TLS 檢查,請務必啟用憑證授權單位服務 (privateca.googleapis.com) API。
建立虛擬私有雲子網路
在虛擬私有雲網路中,為要部署安全無虞的網路 Proxy 執行個體的每個區域建立子網路。如果先前已建立子網路,則可將 purpose 參數設為 PRIVATE,將該子網路重複用於 VPC 子網路。
gcloud
如要建立子網路,請使用 gcloud compute networks subnets create 指令。
gcloud compute networks subnets create VPC_SUBNET_NAME \
--purpose=PRIVATE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
更改下列內容:
VPC_SUBNET_NAME:虛擬私有雲子網路的名稱REGION:要部署虛擬私有雲子網路的區域NETWORK_NAME:虛擬私有雲網路名稱IP_RANGE:子網路範圍,例如10.10.10.0/24
建立 Proxy 子網路
為要部署 Secure Web Proxy 執行個體的每個區域建立 Proxy 子網路。
建議您建立 /23 大小的子網路,最多可儲存 512 個僅限 Proxy 的位址。Secure Web Proxy 會使用這個範圍,分配專屬的不重複 IP 位址集區。這個預留集區可確保 Proxy 有足夠的容量來處理擴充作業,並與 VPC 網路中的 Cloud NAT 和目的地安全地互動。
gcloud
如要建立 Proxy 子網路,請使用 gcloud compute networks subnets create 指令。
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
更改下列內容:
PROXY_SUBNET_NAME:Proxy 子網路名稱REGION:要部署 Proxy 子網路的區域NETWORK_NAME:虛擬私有雲網路名稱IP_RANGE:子網路範圍,例如192.168.0.0/23
部署傳輸層安全標準 (TLS) 憑證
由於 Secure Web Proxy 的預設和最基本功能 (強制執行政策,但不進行深入檢查) 不需要傳輸層安全標準 (TLS) 憑證,因此 TLS (舊稱 SSL) 憑證對 Secure Web Proxy 而言是選用項目。
只有在用戶端 (網路中的工作負載、應用程式或裝置) 使用 HTTPS 連線至 Proxy 時,安全網頁 Proxy 才需要 TLS 憑證。詳情請參閱「SSL 憑證總覽」一文。
如要使用 Certificate Manager 部署 TLS 憑證,請採用下列任一方法:
以下範例說明如何使用 Certificate Manager 部署區域性自行管理的憑證:
建立 TLS 憑證。
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"更改下列內容:
KEY_PATH:私密金鑰的儲存路徑,例如~/key.pemCERTIFICATE_PATH:儲存憑證的路徑,例如~/cert.pemSWP_HOST_NAME:Secure Web Proxy 執行個體的主機名稱,例如myswp.example.com