Secure Web Proxy に Cloud NAT を使用する

Secure Web Proxy インスタンスをプロビジョニングすると、同じリージョンと Virtual Private Cloud（VPC）ネットワークに Cloud NAT ゲートウェイが自動的に作成されます。このゲートウェイは、Secure Web Proxy インスタンスから発信されるすべての送信ウェブトラフィックについて、プライベート IP をパブリック IP にマッピングすることでインターネットアクセスを管理します。

デフォルトでは、この自動プロビジョニングされた Cloud NAT ゲートウェイは Automatic NAT IP address allocation に設定されています。つまり、 Google Cloudは Secure Web Proxy インスタンスが使用するパブリック IP アドレスを動的に割り当ててスケーリングします。ただし、このゲートウェイを再構成して、手動で予約して割り当てることができる静的パブリック IP アドレスのセットを使用することはできます。

始める前に

初期設定の手順を完了します。
Secure Web Proxy インスタンスがデプロイされている VPC ネットワークとリージョンを特定します。
Google Cloud CLI バージョン 406.0.0 以降がインストールされていることを確認します。
```
gcloud version | head -n1
```
以前のバージョンの gcloud CLI がインストールされている場合は、バージョンを更新します。
```
gcloud components update --version=406.0.0
```

Secure Web Proxy 用に Cloud NAT IP を構成する

コンソール

特定の静的外部 IP アドレスを予約する手順は次のとおりです。
1. Google Cloud コンソールで、[IP アドレス] ページに移動します。
  
  [IP アドレス] に移動
2. [外部を予約] をクリックします。[外部静的 IP アドレスを予約] ページが開きます。
3. [名前] フィールドに、IP アドレスの名前（swp-nat-ip-1 など）を入力します。
4. [説明] フィールドに、IP アドレスの説明を入力します。
5. [ネットワークサービスティア] で、必要なオプションを選択します。
6. [IP バージョン] で [IPv4] を選択します。
7. [タイプ] で [リージョン] を選択します。
8. [リージョン] で、Secure Web Proxy インスタンスがデプロイされているリージョンを選択します。
9. [接続先] で、選択したオプションを [なし] のままにします。
10. [予約] をクリックします。Cloud NAT ゲートウェイで使用する静的 IP アドレスごとに、このプロセスを繰り返します。
Secure Web Proxy インスタンスの Cloud NAT ゲートウェイを見つけて変更する手順は次のとおりです。
1. Google Cloud コンソールで、[Cloud NAT] ページに移動します。
  
  [Cloud NAT] に移動
2. Secure Web Proxy インスタンスが使用する Cloud NAT ゲートウェイを見つけます。名前は swg-autogen-nat になり、適切なリージョンと VPC ネットワークに配置されます。
3. [編集] をクリックします。
4. [Cloud NAT IP アドレス] で、設定を [自動（推奨）] から [手動] に変更します。
5. [IP アドレス] で、予約した静的 IP アドレスを選択します。
  
  複数の IP アドレスを追加するには、[IP アドレスを追加] をクリックします。
6. [保存] をクリックします。

Cloud Shell

プロジェクトとリージョンの詳細を指定します。
```
gcloud config set project PROJECT_ID
gcloud config set compute/region REGION
```
次のように置き換えます。
- PROJECT_ID: Google Cloud プロジェクトの ID
- REGION: Secure Web Proxy インスタンスがデプロイされているリージョン

静的外部 IP アドレスを予約します。

gcloud compute addresses create swp-nat-ip-1 \
    --region=REGION
gcloud compute addresses create swp-nat-ip-2 \
    --region=REGION
# Repeat for more IPs if required.

Cloud NAT ゲートウェイに関連付けられている Cloud Router の名前を特定します。
```
gcloud compute routers list \
    --region REGION \
    --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
    --format="get(name)"
```
次のように置き換えます。
- REGION: Secure Web Proxy インスタンス用に Cloud Router がデプロイされているリージョン
- NETWORK_NAME: VPC ネットワークの名前
出力は次のようになります。
```
swg-autogen-router-1
```
その Cloud Router に関連付けられている Cloud NAT 構成を一覧表示して、Cloud NAT ゲートウェイの名前（swg-autogen-nat）を確認します。
```
gcloud compute routers nats list \
    --router=swg-autogen-router-1 \
    --region=REGION
```

手動 IP アドレスを使用するように Cloud NAT ゲートウェイを更新します。

gcloud compute routers nats update swg-autogen-nat \
    --router=swg-autogen-router-1 \
    --region=REGION \
    --nat-external-ip-pool=swp-nat-ip-1,swp-nat-ip-2
    # You can list multiple reserved IP names separated by commas.

制限事項

Cloud NAT ゲートウェイは、関連付けられている Secure Web Proxy インスタンスと同じリージョンにデプロイする必要があります。これは、各プロキシに特定のリージョンに関連付けられた Cloud NAT ゲートウェイが必要であるためです。

VPC ネットワークリージョンで最初のプロキシをプロビジョニングすると、Cloud NAT ゲートウェイが自動的に作成されます。ただし、ゲートウェイは、その特定のリージョンと VPC ネットワークにデプロイされた Secure Web Proxy インスタンスに対してのみインターネットアクセスを提供できます。