In diesem Dokument erfahren Sie, wie Sie Ihre eigenen Unternehmens-IP-Adressen oder statischen Google Cloud -IP-Adressen zuweisen, die der Secure Web Proxy für ausgehenden Traffic verwendet.
Hinweis
Führen Sie die Schritte zur Ersteinrichtung aus.
Sie benötigen eine Liste mit statischen IPv4-Adressen, die für den sicheren Webproxy reserviert sind. Wenn Sie IP-Adressen in Google Cloudreservieren möchten, lesen Sie den Hilfeartikel zum Befehl
gcloud compute addresses createzum Erstellen einer Adressressource.Prüfen Sie, ob die Google Cloud CLI-Version 406.0.0 oder höher installiert ist:
gcloud version | head -n1Wenn Sie eine ältere Version der gcloud CLI installiert haben, aktualisieren Sie sie:
gcloud components update --version=406.0.0
Statische IP-Adressen für Secure Web Proxy aktivieren
Gehen Sie dazu so vor:
Ermitteln Sie den Namen des Cloud Router, der bei der Bereitstellung des Secure Web Proxy zugewiesen wurde:
gcloud compute routers list \ --region REGION \ --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \ --format="get(name)"Ersetzen Sie Folgendes:
REGION: die Region, in der der Cloud Router für Secure Web Proxy bereitgestellt wirdNETWORK_NAME: Der Name Ihres VPC-Netzwerks
Die Ausgabe sieht in etwa so aus:
swg-autogen-router-1Liste der externen automatisch bereitgestellten IP-Adressen, die bei der Bereitstellung des sicheren Web-Proxys zugewiesen wurden:
gcloud compute routers get-status ROUTER_NAME \ --region=REGIONDie Ausgabe sieht in etwa so aus:
kind: compute#routerStatusResponse result: natStatus: - autoAllocatedNatIps: - 34.144.80.46 - 34.144.83.75 - 34.144.88.111 - 34.144.94.113 minExtraNatIpsNeeded: 0 name: swg-autogen-nat numVmEndpointsWithNatMappings: 3 network: https://www.googleapis.com/compute/projects/PROJECT_NAME/global/networks/NETWORK_NAMEAktualisieren Sie das Cloud NAT-Gateway, um den vordefinierten IP-Bereich zu verwenden:
gcloud compute routers nats update swg-autogen-nat \ --router=ROUTER_NAME \ --nat-external-ip-pool=IPv4_ADDRESSES... \ --region=REGIONErsetzen Sie
IPv4_ADDRESSESdurch den Namen der externen IPv4-Adressenressource, die Sie verwenden möchten, getrennt durch ein Komma (,).Prüfen Sie, ob Ihr IP-Bereich dem Cloud NAT-Gateway zugewiesen ist:
gcloud compute routers nats describe swg-autogen-nat \ --router=ROUTER_NAME \ --region=REGIONDie Ausgabe sieht in etwa so aus:
enableEndpointIndependentMapping: false icmpIdleTimeoutSec: 30 logConfig: enable: false filter: ALL name: swg-autogen-nat natIpAllocateOption: MANUAL_ONLY natIps: - https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGESAktualisieren Sie das Cloud NAT-Gateway, damit der Modus „Dynamic Port Allocation“ (DPA) verwendet wird. Im DPA-Modus kann Secure Web Proxy die zugewiesenen IP-Adressen vollständig nutzen.
gcloud compute routers nats update swg-autogen-nat \ --router=ROUTER_NAME \ --min-ports-per-vm=2048 \ --max-ports-per-vm=4096 \ --enable-dynamic-port-allocation \ --region=REGIONFür die Flags
--min-ports-per-vmund--max-ports-per-vmempfehlen wir die Werte2048und4096.Verwenden Sie den Metrics Explorer, um Messwertdaten für Folgendes zu überwachen und die Mindest- und Höchstwerte für die Datenaufbewahrungsrichtlinie nach Bedarf anzupassen:
Cloud NAT Gateway - Port usageCloud NAT Gateway - New connection countCloud NAT Gateway - Open connections
Prüfen Sie, ob die dynamische Portzuweisung aktiviert ist und die Mindest- und Höchstwerte für Ports festgelegt sind:
gcloud compute routers nats describe swg-autogen-nat \ --router=ROUTER_NAME \ --region=REGIONDie Ausgabe sieht in etwa so aus:
enableDynamicPortAllocation: true enableEndpointIndependentMapping: false endpointTypes: - ENDPOINT_TYPE_SWG logConfig: enable: true filter: ERRORS_ONLY maxPortsPerVm: 4096 minPortsPerVm: 2048 name: swg-autogen-nat natIpAllocateOption: MANUAL_ONLY natIps: - https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES type: PUBLIC