Utilizzare Cloud NAT per Secure Web Proxy

Quando esegui il provisioning di un'istanza Secure Web Proxy, viene creato automaticamente un gateway Cloud NAT nella stessa regione e rete Virtual Private Cloud (VPC). Questo gateway gestisce quindi l'accesso a internet mappando gli IP privati agli IP pubblici per tutto il traffico web in uscita proveniente dalle istanze Secure Web Proxy.

Per impostazione predefinita, questo gateway Cloud NAT di cui è stato eseguito il provisioning automatico è impostato su Automatic NAT IP address allocation. Ciò significa che Google Cloud assegna e scala dinamicamente gli indirizzi IP pubblici utilizzati dalle tue istanze Secure Web Proxy. Tuttavia, puoi riconfigurare questo gateway per utilizzare un insieme di indirizzi IP pubblici statici che puoi prenotare e assegnare manualmente.

Prima di iniziare

  • Completa i passaggi di configurazione iniziale.

  • Identifica la rete VPC e la regione in cui è deployata l'istanza di Secure Web Proxy.

  • Verifica che sia installata la versione 406.0.0 o successive di Google Cloud CLI:

    gcloud version | head -n1

    Se hai installato una versione precedente di gcloud CLI, aggiornala:

    gcloud components update --version=406.0.0

Configura gli IP Cloud NAT per Secure Web Proxy

Console

  1. Per prenotare un insieme specifico di indirizzi IP esterni statici:

    1. Nella console Google Cloud , vai alla pagina Indirizzi IP.

      Vai a indirizzi IP

    2. Fai clic su Prenota esterno. Si apre la pagina Prenota indirizzo IP statico esterno.

    3. Nel campo Nome, inserisci un nome per l'indirizzo IP, ad esempio swp-nat-ip-1.

    4. Nel campo Descrizione, inserisci una descrizione per l'indirizzo IP.

    5. In Livello di servizio di rete, seleziona l'opzione richiesta.

    6. In Versione IP, seleziona IPv4.

    7. Per Tipo, seleziona A livello di regione.

    8. Per Regione, seleziona la stessa regione in cui è stato eseguito il deployment dell'istanza di Secure Web Proxy.

    9. Per Allegato, mantieni l'opzione selezionata Nessuno.

    10. Fai clic su Prenota. Ripeti questa procedura per ogni indirizzo IP statico che vuoi utilizzare per il gateway Cloud NAT.

  2. Per individuare e modificare il gateway Cloud NAT per l'istanza di Secure Web Proxy:

    1. Nella console Google Cloud , vai alla pagina Cloud NAT.

      Vai a Cloud NAT

    2. Individua il gateway Cloud NAT utilizzato dall'istanza Secure Web Proxy. Il suo nome sarebbe swg-autogen-nat e si troverebbe nella regione e nella rete VPC appropriate.

    3. Fai clic su Modifica.

    4. Per Indirizzi IP Cloud NAT, cambia l'impostazione da Automatico (consigliato) a Manuale.

    5. In Indirizzi IP, seleziona gli indirizzi IP statici che hai prenotato.

      Per aggiungere più indirizzi IP, fai clic su Aggiungi indirizzo IP.

    6. Fai clic su Salva.

Cloud Shell

  1. Specifica i dettagli del progetto e della regione.

    gcloud config set project PROJECT_ID
gcloud config set compute/region REGION

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID del tuo Google Cloud progetto
    • REGION: la regione in cui viene eseguito il deployment dell'istanza di Secure Web Proxy

  2. Prenota gli indirizzi IP esterni statici.

    gcloud compute addresses create swp-nat-ip-1 \
    --region=REGION
gcloud compute addresses create swp-nat-ip-2 \
    --region=REGION
# Repeat for more IPs if required.

  3. Identifica il nome del router Cloud associato al gateway Cloud NAT.

    gcloud compute routers list \
    --region REGION \
    --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
    --format="get(name)"

    Sostituisci quanto segue:

    • REGION: la regione in cui viene deployatorouter Cloudr per l'istanza Secure Web Proxy
    • NETWORK_NAME: il nome della tua rete VPC

    L'output è simile al seguente:

    swg-autogen-router-1

  4. Elenca le configurazioni Cloud NAT associate a questo router Cloud per verificare il nome del gateway Cloud NAT, che dovrebbe essere swg-autogen-nat.

    gcloud compute routers nats list \
    --router=swg-autogen-router-1 \
    --region=REGION

  5. Aggiorna il gateway Cloud NAT in modo che utilizzi indirizzi IP manuali.

    gcloud compute routers nats update swg-autogen-nat \
    --router=swg-autogen-router-1 \
    --region=REGION \
    --nat-external-ip-pool=swp-nat-ip-1,swp-nat-ip-2
    # You can list multiple reserved IP names separated by commas.

Limitazioni

Devi eseguire il deployment del gateway Cloud NAT nella stessa regione delle istanze Secure Web Proxy associate. Questo perché è obbligatorio che ogni proxy abbia il proprio gateway Cloud NAT associato nella sua regione specifica.

Quando esegui il provisioning del primo proxy in una regione della rete VPC, viene creato automaticamente un gateway Cloud NAT. Tuttavia, il gateway può fornire l'accesso a internet solo alle istanze Secure Web Proxy di cui è stato eseguito il deployment in quella particolare regione e rete VPC.

Passaggi successivi