Cloud NAT für Secure Web Proxy verwenden

Wenn Sie eine Secure Web Proxy-Instanz bereitstellen, wird automatisch ein Cloud NAT-Gateway in derselben Region und demselben VPC-Netzwerk (Virtual Private Cloud) erstellt. Dieses Gateway verwaltet dann den Internetzugriff, indem es private IP-Adressen öffentlichen IP-Adressen für den gesamten ausgehenden Web-Traffic zuordnet, der von Ihren Secure Web Proxy-Instanzen stammt.

Standardmäßig ist dieses automatisch bereitgestellte Cloud NAT-Gateway auf Automatic NAT IP address allocation eingestellt. Das bedeutet, dass Google Clouddie öffentlichen IP-Adressen, die von Ihren Secure Web Proxy-Instanzen verwendet werden, dynamisch zugewiesen und skaliert werden. Sie können dieses Gateway jedoch so konfigurieren, dass statische öffentliche IP-Adressen verwendet werden, die Sie manuell reservieren und zuweisen können.

Hinweise

  • Führen Sie die Schritte zur Ersteinrichtung aus.

  • Ermitteln Sie das VPC-Netzwerk und die Region, in denen Ihre Secure Web Proxy-Instanz bereitgestellt wird.

  • Prüfen Sie, ob die Google Cloud CLI-Version 406.0.0 oder höher installiert ist:

    gcloud version | head -n1

    Wenn Sie eine ältere gcloud CLI-Version installiert haben, aktualisieren Sie die Version:

    gcloud components update --version=406.0.0

Cloud NAT-IPs für Secure Web Proxy konfigurieren

Console

  1. So reservieren Sie eine bestimmte Gruppe statischer externer IP-Adressen:

    1. Rufen Sie in der Google Cloud Console die Seite IP-Adressen auf.

      "IP-Adressen" aufrufen

    2. Klicken Sie auf Extern reservieren. Die Seite Externe statische IP-Adresse reservieren wird geöffnet.

    3. Geben Sie im Feld Name einen Namen für die IP-Adresse ein, z. B. swp-nat-ip-1.

    4. Geben Sie im Feld Beschreibung eine Beschreibung für die IP-Adresse ein.

    5. Wählen Sie für Netzwerkdienststufe die gewünschte Option aus.

    6. Setzen Sie die IP-Version auf IPv4.

    7. Wählen Sie unter Typ die Option Regional aus.

    8. Wählen Sie unter Region dieselbe Region aus, in der Ihre Secure Web Proxy-Instanz bereitgestellt wird.

    9. Übernehmen Sie für Angehängt die ausgewählte Option Keine.

    10. Klicken Sie auf Reservieren. Wiederholen Sie diesen Vorgang für jede statische IP-Adresse, die Sie für das Cloud NAT-Gateway verwenden möchten.

  2. So suchen und ändern Sie das Cloud NAT-Gateway für Ihre Secure Web Proxy-Instanz:

    1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

      Zur Seite „Cloud NAT”

    2. Suchen Sie das Cloud NAT-Gateway, das von Ihrer Secure Web Proxy-Instanz verwendet wird. Der Name wäre swg-autogen-nat und es würde sich in der entsprechenden Region und im entsprechenden VPC-Netzwerk befinden.

    3. Klicken Sie auf Bearbeiten.

    4. Ändern Sie für Cloud NAT-IP-Adressen die Einstellung von Automatisch (empfohlen) zu Manuell.

    5. Wählen Sie unter IP-Adressen die statischen IP-Adressen aus, die Sie reserviert haben.

      Wenn Sie mehrere IP-Adressen hinzufügen möchten, klicken Sie auf IP-Adresse hinzufügen.

    6. Klicken Sie auf Speichern.

Cloud Shell

  1. Geben Sie die Details zu Ihrem Projekt und Ihrer Region an.

    gcloud config set project PROJECT_ID
gcloud config set compute/region REGION

    Ersetzen Sie Folgendes:

    • PROJECT_ID: ID Ihres Google Cloud -Projekts
    • REGION: Region, in der Ihre Secure Web Proxy-Instanz bereitgestellt wird

  2. Reservieren Sie Ihre statischen externen IP-Adressen.

    gcloud compute addresses create swp-nat-ip-1 \
    --region=REGION
gcloud compute addresses create swp-nat-ip-2 \
    --region=REGION
# Repeat for more IPs if required.

  3. Ermitteln Sie den Namen des Cloud Router, der Ihrem Cloud NAT-Gateway zugeordnet ist.

    gcloud compute routers list \
    --region REGION \
    --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
    --format="get(name)"

    Ersetzen Sie Folgendes:

    • REGION: die Region, in der der Cloud Router für Ihre Secure Web Proxy-Instanz bereitgestellt wird
    • NETWORK_NAME: Name des VPC-Netzwerks

    Die Ausgabe sieht etwa so aus:

    swg-autogen-router-1

  4. Listen Sie die Cloud NAT-Konfigurationen auf, die diesem Cloud Router zugeordnet sind, um den Namen Ihres Cloud NAT-Gateways zu prüfen. Dieser wäre swg-autogen-nat.

    gcloud compute routers nats list \
    --router=swg-autogen-router-1 \
    --region=REGION

  5. Aktualisieren Sie das Cloud NAT-Gateway, damit manuelle IP-Adressen verwendet werden.

    gcloud compute routers nats update swg-autogen-nat \
    --router=swg-autogen-router-1 \
    --region=REGION \
    --nat-external-ip-pool=swp-nat-ip-1,swp-nat-ip-2
    # You can list multiple reserved IP names separated by commas.

Beschränkungen

Sie müssen Ihr Cloud NAT-Gateway in derselben Region wie die zugehörigen Secure Web Proxy-Instanzen bereitstellen. Das liegt daran, dass jeder Proxy sein zugehöriges Cloud NAT-Gateway in seiner spezifischen Region haben muss.

Wenn Sie den ersten Proxy in einer VPC-Netzwerkregion bereitstellen, wird automatisch ein Cloud NAT-Gateway erstellt. Das Gateway kann jedoch nur für die Secure Web Proxy-Instanzen, die in dieser bestimmten Region und diesem VPC-Netzwerk bereitgestellt werden, Internetzugriff bereitstellen.

Nächste Schritte