本文档介绍了如何为安全 Web 代理分配您自己的企业 IP 地址或静态 Google Cloud IP 地址,以便其用于出站流量。
准备工作
完成初始设置步骤。
确保您已预留用于 的静态 IPv4 地址列表 安全 Web 代理。如果您想在 Google Cloud 中预留 IP 地址,请参阅 使用
gcloud compute addresses create命令创建地址 资源。验证您是否已安装 Google Cloud CLI 406.0.0 或更高版本:
gcloud version | head -n1如果您安装的 gcloud CLI 版本较低,请更新版本:
gcloud components update --version=406.0.0
为安全 Web 代理启用静态 IP 地址
执行以下操作:
确定在安全 Web 代理预配期间分配的 Cloud Router 名称:
gcloud compute routers list \ --regions REGION_NAME \ --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \ --format="get(name)"替换以下内容:
REGION_NAME:Cloud Router 路由器所在的区域 已针对安全 Web 代理部署NETWORK_NAME:您的 VPC 网络的名称
输出类似于以下内容:
swg-autogen-router-1列出以下期间分配的外部自动预配 IP 地址: 安全 Web 代理配置:
gcloud compute routers get-status ROUTER_NAME \ --region=REGION输出类似于以下内容:
kind: compute#routerStatusResponse result: natStatus: - autoAllocatedNatIps: - 34.144.80.46 - 34.144.83.75 - 34.144.88.111 - 34.144.94.113 minExtraNatIpsNeeded: 0 name: swg-autogen-nat numVmEndpointsWithNatMappings: 3 network: https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/global/networks/NETWORK_NAME更新 Cloud NAT 网关以使用您预定义的 IP 地址范围:
gcloud compute routers nats update swg-autogen-nat \ --router=ROUTER_NAME \ --nat-external-ip-pool=IPv4_ADDRESSES... \ --region=REGION将
IPv4_ADDRESSES替换为外部资源的名称 您要使用的 IPv4 地址资源,以英文逗号 (,) 分隔。Secure Web Proxy 分配的一组固定 IP 地址无法自动扩缩。当您为多个外部 IP 地址提供外部 IP 地址列表时 Cloud NAT,请确保为进程分配足够的 IP 地址 安全 Web 代理的流量。我们建议使用至少五个 IP 地址。
如果您预计流量会很大,例如查询量会超过 1 万次 我们建议您先使用自动分配的配置 和最大利用率工作负载在这种情况下,您可以监控 自动扩缩的 IP 地址数量,供您手动配置 出站流量 IP 地址
验证您的 IP 范围是否已分配给 Cloud NAT 网关:
gcloud compute routers nats describe swg-autogen-nat \ --router=ROUTER_NAME \ --region=REGION输出类似于以下内容:
enableEndpointIndependentMapping: false icmpIdleTimeoutSec: 30 logConfig: enable: false filter: ALL name: swg-autogen-nat natIpAllocateOption: MANUAL_ONLY natIps: - https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES