Usa Cloud NAT para el proxy web seguro

Cuando aprovisionas una instancia de Secure Web Proxy, se crea automáticamente una puerta de enlace de Cloud NAT en la misma región y red de nube privada virtual (VPC). Luego, esta puerta de enlace administra el acceso a Internet asignando IPs privadas a IPs públicas para todo el tráfico web saliente que se origina en tus instancias de proxy web seguro.

De forma predeterminada, esta puerta de enlace de Cloud NAT aprovisionada automáticamente se establece en Automatic NAT IP address allocation. Esto significa que Google Cloudasigna y ajusta de forma dinámica las direcciones IP públicas que usan tus instancias de Proxy web seguro. Sin embargo, puedes volver a configurar esta puerta de enlace para usar un conjunto de direcciones IP públicas estáticas que puedes reservar y asignar de forma manual.

Antes de comenzar

Completa los pasos de configuración inicial.
Identifica la red de VPC y la región en las que se implementa tu instancia de Secure Web Proxy.
Verifica que tengas instalada la versión 406.0.0 o posterior de Google Cloud CLI:
```
gcloud version | head -n1
```
Si tienes instalada una versión anterior de gcloud CLI, actualízala:
```
gcloud components update --version=406.0.0
```

Configura IPs de Cloud NAT para Secure Web Proxy

Console

Para reservar un conjunto específico de direcciones IP externas estáticas, sigue estos pasos:
1. En la consola de Google Cloud , ve a la página Direcciones IP.
  
  Ir a Direcciones IP
2. Haz clic en Reservar externa. Se abrirá la página Reservar dirección IP externa estática.
3. En el campo Nombre, ingresa un nombre para la dirección IP, como swp-nat-ip-1.
4. En el campo Descripción, ingresa una descripción para la dirección IP.
5. En Nivel de servicio de red, selecciona la opción requerida.
6. En Versión de IP, selecciona IPv4.
7. En Tipo, selecciona Regional.
8. En Región, selecciona la misma región en la que se implementó tu instancia de Proxy web seguro.
9. En Adjunto, mantén la opción seleccionada como Ninguno.
10. Haz clic en Reservar. Repite este proceso para cada dirección IP estática que desees usar para la puerta de enlace de Cloud NAT.
Para ubicar y modificar la puerta de enlace de Cloud NAT de tu instancia de Proxy web seguro, sigue estos pasos:
1. En la consola de Google Cloud , ve a la página Cloud NAT.
  
  Ir a Cloud NAT
2. Ubica la puerta de enlace de Cloud NAT que usa tu instancia de Proxy web seguro. Su nombre sería swg-autogen-nat y estaría en la región y la red de VPC adecuadas.
3. Haz clic en Editar.
4. En Direcciones IP de Cloud NAT, cambia el parámetro de configuración de Automáticas (recomendado) a Manuales.
5. En Direcciones IP, selecciona las direcciones IP estáticas que reservaste.
  
  Para agregar varias direcciones IP, haz clic en Agregar dirección IP.
6. Haz clic en Guardar.

Cloud Shell

Especifica los detalles de tu proyecto y región.
```
gcloud config set project PROJECT_ID
gcloud config set compute/region REGION
```
Reemplaza lo siguiente:
- PROJECT_ID: ID de tu proyecto de Google Cloud
- REGION: Región en la que se implementa tu instancia de Secure Web Proxy

Reserva tus direcciones IP externas estáticas.

gcloud compute addresses create swp-nat-ip-1 \
    --region=REGION
gcloud compute addresses create swp-nat-ip-2 \
    --region=REGION
# Repeat for more IPs if required.

Identifica el nombre del Cloud Router asociado a tu puerta de enlace de Cloud NAT.
```
gcloud compute routers list \
    --region REGION \
    --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
    --format="get(name)"
```
Reemplaza lo siguiente:
- REGION: Es la región en la que se implementa el Cloud Router para tu instancia de Secure Web Proxy.
- NETWORK_NAME: Es el nombre de tu red de VPC.
El resultado es similar a lo siguiente:
```
swg-autogen-router-1
```
Enumera las configuraciones de Cloud NAT asociadas a ese Cloud Router para verificar el nombre de tu puerta de enlace de Cloud NAT, que sería swg-autogen-nat.
```
gcloud compute routers nats list \
    --router=swg-autogen-router-1 \
    --region=REGION
```

Actualiza la puerta de enlace de Cloud NAT para que use direcciones IP manuales.

gcloud compute routers nats update swg-autogen-nat \
    --router=swg-autogen-router-1 \
    --region=REGION \
    --nat-external-ip-pool=swp-nat-ip-1,swp-nat-ip-2
    # You can list multiple reserved IP names separated by commas.

Limitaciones

Debes implementar tu puerta de enlace de Cloud NAT en la misma región que sus instancias de Proxy web seguro asociadas. Esto se debe a que es obligatorio que cada proxy tenga su puerta de enlace de Cloud NAT asociada en su región específica.

Cuando aprovisionas el primer proxy en una región de red de VPC, se crea automáticamente una puerta de enlace de Cloud NAT. Sin embargo, la puerta de enlace solo puede proporcionar acceso a Internet para las instancias del proxy web seguro que se implementan en esa región y red de VPC en particular.