Usar o Cloud NAT com o Secure Web Proxy

Ao provisionar uma instância do Secure Web Proxy, um gateway do Cloud NAT é criado automaticamente na mesma região e rede de nuvem privada virtual (VPC). Esse gateway gerencia o acesso à Internet mapeando IPs particulares para IPs públicos de todo o tráfego da Web de saída originado das instâncias do Secure Web Proxy.

Por padrão, esse gateway do Cloud NAT provisionado automaticamente é definido como Automatic NAT IP address allocation. Isso significa que Google Cloud atribui e dimensiona dinamicamente os endereços IP públicos usados pelas instâncias do Secure Web Proxy. No entanto, é possível reconfigurar esse gateway para usar um conjunto de endereços IP públicos estáticos que podem ser reservados e atribuídos manualmente.

Antes de começar

  • Conclua as etapas de configuração inicial.

  • Identifique a rede VPC e a região em que a instância do Secure Web Proxy está implantada.

  • Verifique se você tem a versão 406.0.0 ou mais recente da Google Cloud CLI instalada:

    gcloud version | head -n1

    Se você tiver uma versão anterior da CLI gcloud instalada, atualize a versão:

    gcloud components update --version=406.0.0

Configurar IPs do Cloud NAT para o Secure Web Proxy

Console

  1. Para reservar um conjunto específico de endereços IP externo estáticos, siga estas etapas:

    1. Noconsole, acesse a página Endereços IP. Google Cloud

      Acessar endereços IP

    2. Clique em Reservar externo. A página Reservar endereço IP estático externo será aberta.

    3. No campo Nome, insira um nome para o endereço IP, como swp-nat-ip-1.

    4. No campo Descrição, insira uma descrição para o endereço IP.

    5. Em Nível de serviço de rede, selecione a opção necessária.

    6. Em Versão IP, selecione IPv4.

    7. Em Tipo, selecione Regional.

    8. Em Região, selecione a mesma região em que a instância do Secure Web Proxy está implantada.

    9. Em Anexado a, mantenha a opção selecionada como Nenhum.

    10. Clique em Reservar. Repita esse processo para cada endereço IP estático que você quer usar para o gateway do Cloud NAT.

  2. Para localizar e modificar o gateway do Cloud NAT da instância do Secure Web Proxy, siga estas etapas:

    1. No Google Cloud console do, acesse a página Cloud NAT.

      Acesse o Cloud NAT

    2. Localize o gateway do Cloud NAT usado pela instância do Secure Web Proxy. O nome dele seria swg-autogen-nat, e ele estaria na região e na rede VPC adequadas.

    3. Clique em Editar.

    4. Em Endereços IP do Cloud NAT, mude a configuração de Automático (recomendado) para Manual.

    5. Em Endereços IP, selecione os endereços IP estáticos que você reservou.

      Para adicionar vários endereços IP, clique em Adicionar endereço IP.

    6. Clique em Salvar.

Cloud Shell

  1. Especifique os detalhes do projeto e da região.

    gcloud config set project PROJECT_ID
gcloud config set compute/region REGION

    Substitua:

    • PROJECT_ID: ID do Google Cloud projeto
    • REGION: região em que a instância do Secure Web Proxy está implantada

  2. Reserve seus endereços IP externo estáticos.

    gcloud compute addresses create swp-nat-ip-1 \
    --region=REGION
gcloud compute addresses create swp-nat-ip-2 \
    --region=REGION
# Repeat for more IPs if required.

  3. Identifique o nome do Cloud Router associado ao gateway do Cloud NAT.

    gcloud compute routers list \
    --region REGION \
    --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
    --format="get(name)"

    Substitua:

    • REGION: região em que o Cloud Router está implantado para a instância do Secure Web Proxy
    • NETWORK_NAME: nome da sua rede VPC

    O resultado será assim:

    swg-autogen-router-1

  4. Liste as configurações do Cloud NAT associadas a esse Cloud Router para verificar o nome do gateway do Cloud NAT, que seria swg-autogen-nat.

    gcloud compute routers nats list \
    --router=swg-autogen-router-1 \
    --region=REGION

  5. Atualize o gateway do Cloud NAT para usar endereços IP manuais.

    gcloud compute routers nats update swg-autogen-nat \
    --router=swg-autogen-router-1 \
    --region=REGION \
    --nat-external-ip-pool=swp-nat-ip-1,swp-nat-ip-2
    # You can list multiple reserved IP names separated by commas.

Limitações

É necessário implantar o gateway do Cloud NAT na mesma região das instâncias do Secure Web Proxy associadas. Isso ocorre porque é obrigatório que cada proxy tenha o gateway do Cloud NAT associado na região específica.

Quando você provisiona o primeiro proxy em uma região de rede VPC, um gateway do Cloud NAT é criado automaticamente. No entanto, o gateway só pode fornecer acesso à Internet para as instâncias do Secure Web Proxy implantadas nessa região e rede VPC específicas.

A seguir