Utiliser Cloud NAT pour Secure Web Proxy

Lorsque vous provisionnez une instance Secure Web Proxy, une passerelle Cloud NAT est automatiquement créée dans la même région et sur le même réseau de cloud privé virtuel (VPC). Cette passerelle gère ensuite l'accès à Internet en mappant les adresses IP privées sur les adresses IP publiques pour tout le trafic Web sortant provenant de vos instances Secure Web Proxy.

Par défaut, cette passerelle Cloud NAT provisionnée automatiquement est définie sur Automatic NAT IP address allocation. Cela signifie que Google Cloudattribue et met à l'échelle de manière dynamique les adresses IP publiques utilisées par vos instances de proxy Web sécurisé. Toutefois, vous pouvez reconfigurer cette passerelle pour utiliser un ensemble d'adresses IP publiques statiques que vous pouvez réserver et attribuer manuellement.

Avant de commencer

  • Suivez la procédure de configuration initiale.

  • Identifiez le réseau VPC et la région dans lesquels votre instance Secure Web Proxy est déployée.

  • Vérifiez que la version 406.0.0 (ou ultérieure) de la Google Cloud CLI est installée :

    gcloud version | head -n1

    Si vous avez installé une version antérieure de la gcloud CLI, mettez-la à jour :

    gcloud components update --version=406.0.0

Configurer les adresses IP Cloud NAT pour Secure Web Proxy

Console

  1. Pour réserver un ensemble spécifique d'adresses IP externes statiques, procédez comme suit :

    1. Dans la console Google Cloud , accédez à la page Adresses IP.

      Accéder à la page "Adresses IP"

    2. Cliquez sur Réserver une adresse externe. La page Réserver une adresse IP statique externe s'ouvre.

    3. Dans le champ Nom, saisissez un nom pour l'adresse IP (par exemple, swp-nat-ip-1).

    4. Dans le champ Description, saisissez une description de l'adresse IP.

    5. Pour Niveau de service réseau, sélectionnez l'option requise.

    6. Pour Version IP, sélectionnez IPv4.

    7. Pour le Type, sélectionnez Régional.

    8. Pour Région, sélectionnez la même région que celle dans laquelle votre instance Secure Web Proxy est déployée.

    9. Pour Associé, conservez l'option Aucun.

    10. Cliquez sur Réserver. Répétez cette procédure pour chaque adresse IP statique que vous souhaitez utiliser pour la passerelle Cloud NAT.

  2. Pour localiser et modifier la passerelle Cloud NAT de votre instance de proxy Web sécurisé, procédez comme suit :

    1. Dans la console Google Cloud , accédez à la page Cloud NAT.

      Accéder à Cloud NAT

    2. Localisez la passerelle Cloud NAT utilisée par votre instance Secure Web Proxy. Son nom serait swg-autogen-nat et il se trouverait dans la région et le réseau VPC appropriés.

    3. Cliquez sur Modifier.

    4. Pour Adresses IP Cloud NAT, remplacez le paramètre Automatique (recommandé) par Manuel.

    5. Pour Adresses IP, sélectionnez les adresses IP statiques que vous avez réservées.

      Pour ajouter plusieurs adresses IP, cliquez sur Ajouter une adresse IP.

    6. Cliquez sur Enregistrer.

Cloud Shell

  1. Spécifiez les détails de votre projet et de votre région.

    gcloud config set project PROJECT_ID
gcloud config set compute/region REGION

    Remplacez les éléments suivants :

    • PROJECT_ID : ID de votre projet Google Cloud
    • REGION : région où votre instance Secure Web Proxy est déployée

  2. Réservez vos adresses IP externes statiques.

    gcloud compute addresses create swp-nat-ip-1 \
    --region=REGION
gcloud compute addresses create swp-nat-ip-2 \
    --region=REGION
# Repeat for more IPs if required.

  3. Identifiez le nom du routeur Cloud Router associé à votre passerelle Cloud NAT.

    gcloud compute routers list \
    --region REGION \
    --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
    --format="get(name)"

    Remplacez les éléments suivants :

    • REGION : région dans laquelle le routeur Cloud Router est déployé pour votre instance Secure Web Proxy
    • NETWORK_NAME : nom de votre réseau VPC

    Le résultat ressemble à ce qui suit :

    swg-autogen-router-1

  4. Listez les configurations Cloud NAT associées à ce Cloud Router pour vérifier le nom de votre passerelle Cloud NAT, qui doit être swg-autogen-nat.

    gcloud compute routers nats list \
    --router=swg-autogen-router-1 \
    --region=REGION

  5. Mettez à jour la passerelle Cloud NAT pour qu'elle utilise des adresses IP manuelles.

    gcloud compute routers nats update swg-autogen-nat \
    --router=swg-autogen-router-1 \
    --region=REGION \
    --nat-external-ip-pool=swp-nat-ip-1,swp-nat-ip-2
    # You can list multiple reserved IP names separated by commas.

Limites

Vous devez déployer votre passerelle Cloud NAT dans la même région que ses instances Secure Web Proxy associées. En effet, chaque proxy doit obligatoirement avoir sa passerelle Cloud NAT associée dans sa région spécifique.

Lorsque vous provisionnez le premier proxy dans une région de réseau VPC, une passerelle Cloud NAT est créée automatiquement. Toutefois, la passerelle ne peut fournir un accès à Internet qu'aux instances Secure Web Proxy déployées dans cette région et ce réseau VPC spécifiques.

Étape suivante