本文档介绍了如何为安全网关分配您自己的企业 IP 地址或静态 Google Cloud IP 地址,以便安全网关用于出站流量。
准备工作
完成初始设置步骤。
确保您已预留用于安全 Web 代理的静态 IPv4 地址列表。如果您想在 Google Cloud 中预留 IP 地址,请参阅
gcloud compute addresses create命令以创建地址资源。请验证您是否已安装 Google Cloud CLI 406.0.0 或更高版本:
gcloud version | head -n1如果您安装的 gcloud CLI 版本较低,请更新版本:
gcloud components update --version=406.0.0
为安全 Web 代理启用静态 IP 地址
执行以下操作:
确定在安全 Web 代理预配期间分配的 Cloud Router 名称:
gcloud compute routers list \ --regions REGION_NAME \ --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \ --format="get(name)"替换以下内容:
REGION_NAME:Cloud Router 为安全 Web 代理部署的区域NETWORK_NAME:您的 VPC 网络的名称
输出类似于以下内容:
swg-autogen-router-1列出在安全 Web 代理预配期间分配的自动预配外部 IP 地址:
gcloud compute routers get-status ROUTER_NAME \ --region=REGION输出类似于以下内容:
kind: compute#routerStatusResponse result: natStatus: - autoAllocatedNatIps: - 34.144.80.46 - 34.144.83.75 - 34.144.88.111 - 34.144.94.113 minExtraNatIpsNeeded: 0 name: swg-autogen-nat numVmEndpointsWithNatMappings: 3 network: https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/global/networks/NETWORK_NAME更新 Cloud NAT 网关以使用您预定义的 IP 地址范围:
gcloud compute routers nats update swg-autogen-nat \ --router=ROUTER_NAME \ --nat-external-ip-pool=IPv4_ADDRESSES... \ --region=REGION将
IPv4_ADDRESSES替换为您打算使用的外部 IPv4 地址资源的名称(以英文逗号分隔,,)。Secure Web Proxy 分配的一组固定 IP 地址无法自动扩缩。为 Cloud NAT 提供外部 IP 地址列表时,请确保分配足够的 IP 地址,以便安全 Web 代理处理流量。我们建议至少使用 5 个 IP 地址。
如果您预计会有大量流量(例如每秒超过 1 万次查询),我们建议您先使用自动分配的配置和最大利用率工作负载。在这种情况下,您可以监控自动扩缩的 IP 地址数量,以便在手动配置出站 IP 地址时参考。
验证您的 IP 地址范围是否已分配给 Cloud NAT 网关:
gcloud compute routers nats describe swg-autogen-nat \ --router=ROUTER_NAME \ --region=REGION输出类似于以下内容:
enableEndpointIndependentMapping: false icmpIdleTimeoutSec: 30 logConfig: enable: false filter: ALL name: swg-autogen-nat natIpAllocateOption: MANUAL_ONLY natIps: - https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES