Usar o Cloud NAT com o Secure Web Proxy

Quando você provisiona uma instância do Secure Web Proxy, um gateway do Cloud NAT é criado automaticamente na mesma região e rede de nuvem privada virtual (VPC). Em seguida, esse gateway gerencia o acesso à Internet mapeando IPs particulares para IPs públicos em todo o tráfego da Web de saída originado das instâncias do proxy da Web seguro.

Por padrão, esse gateway do Cloud NAT com provisionamento automático é definido como Automatic NAT IP address allocation. Isso significa que o Google Cloud atribui e dimensiona dinamicamente os endereços IP públicos usados pelas instâncias do Secure Web Proxy. No entanto, é possível reconfigurar esse gateway para usar um conjunto de endereços IP públicos estáticos que podem ser reservados e atribuídos manualmente.

Antes de começar

  • Conclua as etapas de configuração inicial.

  • Identifique a rede VPC e a região em que a instância do Secure Web Proxy está implantada.

  • Verifique se você tem a versão 406.0.0 ou mais recente da Google Cloud CLI instalada:

    gcloud version | head -n1

    Se você tiver uma versão anterior da CLI gcloud instalada, atualize-a:

    gcloud components update --version=406.0.0

Configurar IPs do Cloud NAT para o Secure Web Proxy

Console

  1. Para reservar um conjunto específico de endereços IP externo estáticos, siga estas etapas:

    1. No console do Google Cloud , acesse a página Endereços IP.

      Acessar endereços IP

    2. Clique em Reservar externo. A página Reservar endereço IP estático externo é aberta.

    3. No campo Nome, insira um nome para o endereço IP, como swp-nat-ip-1.

    4. No campo Descrição, insira uma descrição para o endereço IP.

    5. Em Nível de serviço de rede, selecione a opção necessária.

    6. Em Versão do IP, selecione IPv4.

    7. Em Tipo, selecione Regional.

    8. Em Região, selecione a mesma região em que sua instância do Secure Web Proxy está implantada.

    9. Em Anexado, mantenha a opção selecionada como Nenhum.

    10. Clique em Reservar. Repita esse processo para cada endereço IP estático que você quer usar no gateway do Cloud NAT.

  2. Para localizar e modificar o gateway do Cloud NAT da sua instância do Secure Web Proxy, siga estas etapas:

    1. No console do Google Cloud , acesse a página Cloud NAT.

      Acesse o Cloud NAT

    2. Localize o gateway do Cloud NAT usado pela sua instância do Secure Web Proxy. O nome seria swg-autogen-nat, e ele estaria na região e na rede VPC adequadas.

    3. Clique em Editar.

    4. Em Endereços IP do Cloud NAT, mude a configuração de Automático (recomendado) para Manual.

    5. Em Endereços IP, selecione os endereços IP estáticos que você reservou.

      Para adicionar vários endereços IP, clique em Adicionar endereço IP.

    6. Clique em Salvar.

Cloud Shell

  1. Especifique os detalhes do projeto e da região.

    gcloud config set project PROJECT_ID
gcloud config set compute/region REGION

    Substitua:

    • PROJECT_ID: ID do seu Google Cloud projeto
    • REGION: região em que sua instância do Secure Web Proxy está implantada.

  2. Reserve seus endereços IP externo estáticos.

    gcloud compute addresses create swp-nat-ip-1 \
    --region=REGION
gcloud compute addresses create swp-nat-ip-2 \
    --region=REGION
# Repeat for more IPs if required.

  3. Identifique o nome do Cloud Router associado ao seu gateway do Cloud NAT.

    gcloud compute routers list \
    --region REGION \
    --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
    --format="get(name)"

    Substitua:

    • REGION: a região em que o Cloud Router é implantado para sua instância do Secure Web Proxy
    • NETWORK_NAME: nome da rede VPC.

    O resultado será o seguinte:

    swg-autogen-router-1

  4. Liste as configurações do Cloud NAT associadas a esse Cloud Router para verificar o nome do gateway do Cloud NAT, que seria swg-autogen-nat.

    gcloud compute routers nats list \
    --router=swg-autogen-router-1 \
    --region=REGION

  5. Atualize o gateway do Cloud NAT para usar endereços IP manuais.

    gcloud compute routers nats update swg-autogen-nat \
    --router=swg-autogen-router-1 \
    --region=REGION \
    --nat-external-ip-pool=swp-nat-ip-1,swp-nat-ip-2
    # You can list multiple reserved IP names separated by commas.

Limitações

Implante o gateway do Cloud NAT na mesma região das instâncias associadas do Secure Web Proxy. Isso porque é obrigatório que cada proxy tenha o gateway do Cloud NAT associado na respectiva região.

Quando você provisiona o primeiro proxy em uma região de rede VPC, um gateway do Cloud NAT é criado automaticamente. No entanto, o gateway só pode fornecer acesso à Internet para as instâncias do proxy seguro da Web implantadas nessa região e rede VPC específicas.

A seguir