Passaggi di configurazione iniziali

Questo documento descrive i passaggi di configurazione iniziali necessari per utilizzare Secure Web Proxy.

Recupera ruoli e autorizzazioni IAM

Per ottenere le autorizzazioni necessarie per eseguire il provisioning di un'istanza Secure Web Proxy, chiedi all'amministratore di concederti i seguenti ruoli IAM nel tuo progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.

(Facoltativo) Se hai un insieme di utenti responsabili della gestione delle policy di sicurezza dell'organizzazione Compute Engine, concedi loro il ruolo Amministratore delle policy di sicurezza dell'organizzazione Compute (roles/compute.orgSecurityPolicyAdmin).

Per saperne di più sui ruoli e sulle autorizzazioni del progetto, consulta quanto segue:

Crea un progetto Google Cloud

Per creare o selezionare un Google Cloud progetto:

Console

  1. Nella console Google Cloud , vai alla pagina di selezione del progetto.

    Vai al selettore di progetti

  2. Crea un Google Cloud progetto o seleziona un progetto esistente.

gcloud

Puoi procedere in uno dei seguenti modi:

  • Per creare un progetto Google Cloud , utilizza il comando gcloud projects create.

    gcloud projects create PROJECT_ID

    Sostituisci PROJECT_ID con un ID progetto univoco.

  • Per selezionare un progetto Google Cloud esistente, utilizza il comando gcloud config set.

    gcloud config set project PROJECT_ID

Abilita fatturazione

Verifica che la fatturazione sia abilitata per il tuo progetto Google Cloud . Per saperne di più, consulta Abilitare, disabilitare o modificare la fatturazione per un progetto e Verificare lo stato di fatturazione dei progetti.

Abilita le API richieste

Console

  1. Nella console Google Cloud , vai alla pagina Abilita l'accesso alle API.

    Vai ad Attiva l'accesso alle API

    Segui le istruzioni per abilitare queste API richieste: API Compute Engine, API Certificate Manager, API Network Services e API Network Security.

  2. (Facoltativo) Se prevedi di configurare l'ispezione TLS per il tuo proxy, devi attivare l'API Certificate Authority Service.

    Vai ad Attiva l'accesso all'API

gcloud

Per abilitare le API Google Cloud richieste, utilizza il comando gcloud services enable.

    gcloud services enable \
        --compute.googleapis.com \
        --certificatemanager.googleapis.com \
        --networkservices.googleapis.com \
        --networksecurity.googleapis.com \
        --privateca.googleapis.com

(Facoltativo) Se prevedi di configurare l'ispezione TLS per il proxy, devi abilitare l'API Certificate Authority Service (privateca.googleapis.com).

Crea una subnet VPC

Crea una subnet nella rete VPC per ogni regione in cui vuoi eseguire il deployment dell'istanza di Secure Web Proxy. Se hai già creato una subnet, puoi riutilizzarla come subnet VPC impostando il parametro purpose su PRIVATE.

gcloud

Per creare una subnet, utilizza il comando gcloud compute networks subnets create.

gcloud compute networks subnets create VPC_SUBNET_NAME \
    --purpose=PRIVATE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Sostituisci quanto segue:

  • VPC_SUBNET_NAME: il nome della tua subnet VPC
  • REGION: la regione in cui vuoi eseguire il deployment della subnet VPC
  • NETWORK_NAME: il nome della tua rete VPC
  • IP_RANGE: intervallo di subnet, ad esempio 10.10.10.0/24

Crea una subnet proxy

Crea una subnet proxy per ogni regione in cui vuoi eseguire il deployment dell'istanza di Secure Web Proxy.

Ti consigliamo di creare una subnet di dimensioni /23, in grado di memorizzare fino a 512 indirizzi solo proxy. Secure Web Proxy utilizza questo intervallo per allocare un pool dedicato di indirizzi IP univoci. Questo pool riservato contribuisce a garantire che il proxy abbia una capacità sufficiente per gestire lo scaling e interagire in modo sicuro con Cloud NAT e le destinazioni nella tua rete VPC.

gcloud

Per creare una subnet proxy, utilizza il comando gcloud compute networks subnets create.

gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Sostituisci quanto segue:

  • PROXY_SUBNET_NAME: il nome della subnet proxy
  • REGION: la regione in cui vuoi eseguire il deployment della subnet proxy
  • NETWORK_NAME: il nome della tua rete VPC
  • IP_RANGE: intervallo di subnet, ad esempio 192.168.0.0/23

Esegui il deployment di un certificato TLS

Poiché la funzione predefinita e più semplice di Secure Web Proxy, ovvero l'applicazione delle policy senza ispezione approfondita, non richiede certificati TLS (Transport Layer Security), i certificati TLS (in precedenza SSL) sono facoltativi per Secure Web Proxy.

I certificati TLS sono necessari per Secure Web Proxy solo quando i client, ovvero i carichi di lavoro, le applicazioni o i dispositivi all'interno della tua rete, si connettono al proxy utilizzando HTTPS. Per saperne di più, consulta Panoramica dei certificati SSL.

Per eseguire il deployment dei certificati TLS utilizzando Certificate Manager, segui uno di questi metodi:

L'esempio seguente mostra come eseguire il deployment di un certificato autogestito regionale utilizzando Certificate Manager:

  1. Crea un certificato TLS.

    openssl req -x509 -newkey rsa:2048 \
    -keyout KEY_PATH \
    -out CERTIFICATE_PATH -days 365 \
    -subj '/CN=SWP_HOST_NAME' -nodes -addext \
    "subjectAltName=DNS:SWP_HOST_NAME"

    Sostituisci quanto segue:

    • KEY_PATH: il percorso in cui salvare la chiave privata, ad esempio ~/key.pem
    • CERTIFICATE_PATH: il percorso in cui salvare il certificato, ad esempio ~/cert.pem
    • SWP_HOST_NAME: nome host dell'istanza Secure Web Proxy, ad esempio myswp.example.com

  2. Carica il certificato TLS in Certificate Manager

  3. Deployment del certificato TLS in un bilanciatore del carico

Passaggi successivi