为安全 Web 代理使用 Cloud NAT

如需预留一组特定的静态外部 IP 地址，请按以下步骤操作：

1. 在 Google Cloud 控制台中，前往 IP 地址页面。

   转到“IP 地址”

2. 点击预留外部。系统会打开预留外部静态 IP 地址页面。

3. 在名称字段中，输入 IP 地址的名称，例如 swp-nat-ip-1。

4. 在说明字段中，输入 IP 地址的说明。

5. 对于网络服务层级，请选择所需选项。

6. 对于 IP 版本，请选择 IPv4。

7. 对于类型，请选择区域。

8. 对于区域，选择您的安全 Web 代理实例所部署的同一区域。

9. 对于附加，请将所选选项保留为无。

10. 点击预留。针对您要用于 Cloud NAT 网关的每个静态 IP 地址重复此过程。

如需查找和修改安全 Web 代理实例的 Cloud NAT 网关，请按以下步骤操作：

1. 在 Google Cloud 控制台中，前往 Cloud NAT 页面。

   进入 Cloud NAT

2. 找到 Secure Web Proxy 实例使用的 Cloud NAT 网关。其名称为 swg-autogen-nat，并且位于相应的区域和 VPC 网络中。

3. 点击修改。

4. 对于 Cloud NAT IP 地址，将设置从自动（推荐）更改为手动。

5. 对于 IP 地址，请选择您预留的静态 IP 地址。

   如需添加多个 IP 地址，请点击 add_box添加 IP 地址。

6. 点击保存。

指定项目和区域详细信息。

gcloud config set project PROJECT_ID
gcloud config set compute/region REGION

替换以下内容：

• PROJECT_ID：您的 Google Cloud 项目的 ID
• REGION：部署安全 Web 代理实例的区域

预留静态外部 IP 地址。

gcloud compute addresses create swp-nat-ip-1 \
    --region=REGION
gcloud compute addresses create swp-nat-ip-2 \
    --region=REGION
# Repeat for more IPs if required.

确定与 Cloud NAT 网关相关联的 Cloud Router 名称。

gcloud compute routers list \
    --region REGION \
    --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
    --format="get(name)"

替换以下内容：

• REGION：为您的安全 Web 代理实例部署 Cloud Router 的区域
• NETWORK_NAME：您的 VPC 网络的名称

输出类似于以下内容：

swg-autogen-router-1

列出与该 Cloud Router 关联的 Cloud NAT 配置，以验证您的 Cloud NAT 网关的名称（应为 swg-autogen-nat）。

gcloud compute routers nats list \
    --router=swg-autogen-router-1 \
    --region=REGION

更新 Cloud NAT 网关以使用手动 IP 地址。

gcloud compute routers nats update swg-autogen-nat \
    --router=swg-autogen-router-1 \
    --region=REGION \
    --nat-external-ip-pool=swp-nat-ip-1,swp-nat-ip-2
    # You can list multiple reserved IP names separated by commas.