Dokumen ini menjelaskan langkah-langkah penyiapan awal yang diperlukan untuk menggunakan Secure Web Proxy.
Mendapatkan peran dan izin IAM
Untuk mendapatkan izin yang Anda perlukan untuk menyediakan instance Secure Web Proxy, minta administrator Anda untuk memberi Anda peran IAM berikut di project Anda:
- Untuk mengonfigurasi kebijakan dan menyediakan instance Secure Web Proxy:
Peran Compute Network Admin
(
roles/compute.networkAdmin) - Untuk mengupload sertifikat TLS Secure Web Proxy eksplisit:
Peran Editor Certificate Manager
(
roles/certificatemanager.editor)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Opsional: Jika Anda memiliki sekumpulan pengguna yang bertanggung jawab untuk mengelola
kebijakan keamanan organisasi Compute Engine, berikan mereka
peran Admin Kebijakan Keamanan Organisasi Compute
(roles/compute.orgSecurityPolicyAdmin).
Untuk mengetahui informasi selengkapnya tentang peran dan izin project, lihat artikel berikut:
- Dokumentasi Identity and Access Management
- Dokumentasi Compute Engine API
- Dokumentasi Cloud Monitoring API
Buat Google Cloud project
Untuk membuat atau memilih project Google Cloud , ikuti langkah-langkah berikut:
Konsol
Di konsol Google Cloud , buka halaman pemilih project.
Buat Google Cloud project atau pilih project yang sudah ada.
gcloud
Anda dapat mengikuti salah satu langkah berikut:
Untuk membuat Google Cloud project, gunakan perintah
gcloud projects create.gcloud projects create PROJECT_IDGanti
PROJECT_IDdengan project ID unik.Untuk memilih project Google Cloud yang ada, gunakan perintah
gcloud config set.gcloud config set project PROJECT_ID
Aktifkan penagihan
Pastikan penagihan diaktifkan untuk project Google Cloud Anda. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan, menonaktifkan, atau mengubah penagihan untuk project dan Memverifikasi status penagihan project Anda.
Mengaktifkan API yang diperlukan
Konsol
Di konsol Google Cloud , buka halaman Enable access to APIs.
Buka Mengaktifkan akses ke API
Ikuti petunjuk untuk mengaktifkan API yang diperlukan ini: Compute Engine API, Certificate Manager API, Network Services API, dan Network Security API.
Opsional: Jika Anda berencana mengonfigurasi inspeksi TLS untuk proxy, Anda harus mengaktifkan Certificate Authority Service API.
gcloud
Untuk mengaktifkan Google Cloud API yang diperlukan, gunakan
perintah gcloud services enable.
gcloud services enable \
--compute.googleapis.com \
--certificatemanager.googleapis.com \
--networkservices.googleapis.com \
--networksecurity.googleapis.com \
--privateca.googleapis.com
Opsional: Jika Anda berencana mengonfigurasi inspeksi TLS untuk proxy, Anda
harus mengaktifkan Certificate Authority Service (privateca.googleapis.com)
API.
Membuat subnet VPC
Buat subnet di jaringan VPC untuk setiap region tempat Anda ingin men-deploy instance Secure Web Proxy. Jika sebelumnya Anda telah membuat subnet, Anda dapat menggunakannya kembali sebagai subnet VPC dengan menyetel parameter purpose ke PRIVATE.
gcloud
Untuk membuat subnet, gunakan
perintah gcloud compute networks subnets create.
gcloud compute networks subnets create VPC_SUBNET_NAME \
--purpose=PRIVATE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Ganti kode berikut:
VPC_SUBNET_NAME: nama subnet VPC AndaREGION: region tempat Anda ingin men-deploy subnet VPCNETWORK_NAME: nama jaringan VPC AndaIP_RANGE: rentang subnet, seperti10.10.10.0/24
Membuat subnet proxy
Buat subnet proxy untuk setiap region tempat Anda ingin men-deploy instance Secure Web Proxy.
Sebaiknya buat ukuran subnet /23, yang dapat menyimpan hingga 512 alamat khusus proxy. Secure Web Proxy menggunakan rentang ini untuk mengalokasikan kumpulan alamat IP unik khusus. Kumpulan yang dicadangkan ini membantu memastikan
bahwa proxy memiliki kapasitas yang memadai untuk menangani penskalaan
dan berinteraksi secara aman dengan Cloud NAT dan tujuan di jaringan VPC Anda.
gcloud
Untuk membuat subnet proxy, gunakan
perintah gcloud compute networks subnets create.
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Ganti kode berikut:
PROXY_SUBNET_NAME: nama subnet proxy AndaREGION: region tempat Anda ingin men-deploy subnet proxyNETWORK_NAME: nama jaringan VPC AndaIP_RANGE: rentang subnet, seperti192.168.0.0/23
Men-deploy sertifikat TLS
Karena fungsi default dan paling dasar Secure Web Proxy—penerapan kebijakan tanpa pemeriksaan mendalam—tidak memerlukan sertifikat Transport Layer Security (TLS), sertifikat TLS (sebelumnya SSL) bersifat opsional untuk Secure Web Proxy.
Sertifikat TLS hanya diperlukan untuk Secure Web Proxy saat klien—beban kerja, aplikasi, atau perangkat dalam jaringan Anda—terhubung ke proxy menggunakan HTTPS. Untuk informasi selengkapnya, lihat Ringkasan sertifikat SSL.
Untuk men-deploy sertifikat TLS menggunakan Certificate Manager, ikuti salah satu metode berikut:
Men-deploy sertifikat yang dikelola Google regional dengan otorisasi DNS per project
Men-deploy sertifikat yang dikelola Google regional dengan Certificate Authority Service
Contoh berikut menunjukkan cara men-deploy sertifikat yang dikelola sendiri secara regional dengan menggunakan Pengelola Sertifikat:
Buat sertifikat TLS.
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"Ganti kode berikut:
KEY_PATH: jalur tempat menyimpan kunci pribadi, seperti~/key.pemCERTIFICATE_PATH: jalur tempat menyimpan sertifikat, seperti~/cert.pemSWP_HOST_NAME: nama host instance Secure Web Proxy Anda, sepertimyswp.example.com
Langkah berikutnya
- Membuat dan men-deploy instance Secure Web Proxy
- Mengaktifkan pemeriksaan TLS
- Membuat kebijakan
- Mengonfigurasi aturan