Ersteinrichtung

In diesem Dokument werden die ersten Einrichtungsschritte beschrieben, die für die Verwendung von Secure Web Proxy erforderlich sind.

IAM-Rollen und ‑Berechtigungen abrufen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Bereitstellen einer Secure Web Proxy-Instanz benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Optional: Wenn Sie eine Gruppe von Nutzern haben, die für die Verwaltung Ihrer Compute Engine-Sicherheitsrichtlinien für die Organisation verantwortlich sind, weisen Sie ihnen die Rolle „Compute Organization Security Policy Admin“ (roles/compute.orgSecurityPolicyAdmin) zu.

Weitere Informationen zu Projektrollen und Berechtigungen finden Sie hier:

ein Projekt in Google Cloud erstellen

So erstellen oder wählen Sie ein Google Cloud Projekt aus:

Console

  1. Rufen Sie in der Google Cloud Console die Seite für die Projektauswahl auf.

    Zur Projektauswahl

  2. Erstellen Sie ein Google Cloud Projekt oder wählen Sie ein vorhandenes Projekt aus.

gcloud

Sie haben folgende Möglichkeiten:

  • Verwenden Sie zum Erstellen eines Google Cloud Projekts den Befehl gcloud projects create.

    gcloud projects create PROJECT_ID

    Ersetzen Sie PROJECT_ID durch eine eindeutige Projekt-ID.

  • Verwenden Sie den Befehl gcloud config set, um ein vorhandenes Google Cloud Projekt auszuwählen.

    gcloud config set project PROJECT_ID

Abrechnung aktivieren

Die Abrechnung für Ihr Google Cloud -Projekt muss aktiviert sein. Weitere Informationen finden Sie unter Abrechnung für ein Projekt aktivieren, deaktivieren oder ändern und Abrechnungsstatus Ihrer Projekte prüfen.

Erforderliche APIs aktivieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zugriff auf APIs aktivieren auf.

    Zum Abschnitt „Zugriff auf APIs aktivieren“

    Folgen Sie der Anleitung, um die erforderlichen APIs zu aktivieren: Compute Engine API, Certificate Manager API, Network Services API und Network Security API.

  2. Optional: Wenn Sie die TLS-Prüfung für Ihren Proxy konfigurieren möchten, müssen Sie die Certificate Authority Service API aktivieren.

    Zugriff auf die API aktivieren

gcloud

Aktivieren Sie die erforderlichen Google Cloud APIs mit dem gcloud services enable-Befehl.

    gcloud services enable \
        --compute.googleapis.com \
        --certificatemanager.googleapis.com \
        --networkservices.googleapis.com \
        --networksecurity.googleapis.com \
        --privateca.googleapis.com

Optional: Wenn Sie die TLS-Prüfung für Ihren Proxy konfigurieren möchten, müssen Sie die Certificate Authority Service API (privateca.googleapis.com) aktivieren.

VPC-Subnetz erstellen

Erstellen Sie in jedem VPC-Netzwerk ein Subnetz für jede Region, in der Sie Ihre Secure Web Proxy-Instanz bereitstellen möchten. Wenn Sie bereits ein Subnetz erstellt haben, können Sie es als VPC-Subnetz wiederverwenden, indem Sie den Parameter purpose auf PRIVATE setzen.

gcloud

Verwenden Sie zum Erstellen eines Subnetzes den Befehl gcloud compute networks subnets create.

gcloud compute networks subnets create VPC_SUBNET_NAME \
    --purpose=PRIVATE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Ersetzen Sie Folgendes:

  • VPC_SUBNET_NAME: Name Ihres VPC-Subnetzes
  • REGION: Die Region, in der Sie Ihr VPC-Subnetz bereitstellen möchten.
  • NETWORK_NAME: Name des VPC-Netzwerks
  • IP_RANGE: Subnetzbereich, z. B. 10.10.10.0/24

Proxy-Subnetz erstellen

Erstellen Sie ein Proxy-Subnetz für jede Region, in der Sie Ihre Secure Web Proxy-Instanz bereitstellen möchten.

Wir empfehlen, ein Subnetz mit der Größe /23 zu erstellen, in dem bis zu 512 Nur-Proxy-Adressen gespeichert werden können. Secure Web Proxy verwendet diesen Bereich, um einen dedizierten Pool eindeutiger IP-Adressen zuzuweisen. Dieser reservierte Pool sorgt dafür, dass der Proxy genügend Kapazität hat, um die Skalierung zu bewältigen und sicher mit Cloud NAT und Zielen in Ihrem VPC-Netzwerk zu interagieren.

gcloud

Verwenden Sie zum Erstellen eines Proxy-Subnetzes den Befehl gcloud compute networks subnets create.

gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Ersetzen Sie Folgendes:

  • PROXY_SUBNET_NAME: Name Ihres Proxy-Subnetzes
  • REGION: Region, in der Sie das Proxy-Subnetz bereitstellen möchten.
  • NETWORK_NAME: Name des VPC-Netzwerks
  • IP_RANGE: Subnetzbereich, z. B. 192.168.0.0/23

TLS-Zertifikat bereitstellen

Da für die Standard- und einfachste Funktion von Secure Web Proxy – die Richtlinienerzwingung ohne eingehende Prüfung – keine TLS-Zertifikate (Transport Layer Security) erforderlich sind, sind TLS-Zertifikate (früher SSL) für Secure Web Proxy optional.

TLS-Zertifikate sind für Secure Web Proxy nur erforderlich, wenn Clients (die Arbeitslasten, Anwendungen oder Geräte in Ihrem Netzwerk) über HTTPS eine Verbindung zum Proxy herstellen. Weitere Informationen finden Sie in der Übersicht zu SSL-Zertifikaten.

Wenn Sie TLS-Zertifikate mit Certificate Manager bereitstellen möchten, haben Sie folgende Möglichkeiten:

Das folgende Beispiel zeigt, wie Sie ein regionales selbstverwaltetes Zertifikat mit Certificate Manager bereitstellen:

  1. Erstellen Sie ein TLS-Zertifikat.

    openssl req -x509 -newkey rsa:2048 \
    -keyout KEY_PATH \
    -out CERTIFICATE_PATH -days 365 \
    -subj '/CN=SWP_HOST_NAME' -nodes -addext \
    "subjectAltName=DNS:SWP_HOST_NAME"

    Ersetzen Sie Folgendes:

    • KEY_PATH: der Pfad, unter dem der private Schlüssel gespeichert werden soll, z. B. ~/key.pem
    • CERTIFICATE_PATH: Pfad, unter dem das Zertifikat gespeichert werden soll, z. B. ~/cert.pem
    • SWP_HOST_NAME: Hostname Ihrer Secure Web Proxy-Instanz, z. B. myswp.example.com

  2. TLS-Zertifikat in den Zertifikatmanager hochladen

  3. TLS-Zertifikat für einen Load Balancer bereitstellen

Nächste Schritte