Asignar direcciones IP estáticas al tráfico de salida

En este documento se explica cómo asignar tus propias direcciones IP de empresa o direcciones IP estáticas que Secure Web Proxy usa para el tráfico de salida. Google Cloud

Antes de empezar

• Completa los pasos de configuración inicial.

• Asegúrate de tener una lista de direcciones IPv4 estáticas reservadas para usar con el proxy web seguro. Si quieres reservar direcciones IP en Google Cloud, consulta el comando gcloud compute addresses create para crear un recurso de dirección.

• Comprueba que tienes instalada la versión 406.0.0 o una posterior de la CLI de Google Cloud:

  gcloud version | head -n1
  

  Si tienes instalada una versión anterior de la CLI de gcloud, actualízala:

  gcloud components update --version=406.0.0
  

Habilitar direcciones IP estáticas para Secure Web Proxy

Sigue estos pasos:

1. Identifica el nombre de Cloud Router asignado durante el aprovisionamiento de Secure Web Proxy:

   gcloud compute routers list \
       --region REGION \
       --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
       --format="get(name)"
   

   Haz los cambios siguientes:

   • REGION: la región en la que se implementa Cloud Router para Secure Web Proxy
   • NETWORK_NAME: el nombre de tu red de VPC

   El resultado debería ser similar al siguiente:

   swg-autogen-router-1
   

2. Lista de las direcciones IP externas aprovisionadas automáticamente asignadas durante el aprovisionamiento de Secure Web Proxy:

   gcloud compute routers get-status ROUTER_NAME  \
       --region=REGION
   

   El resultado debería ser similar al siguiente:

   kind: compute#routerStatusResponse
   result:
     natStatus:
     - autoAllocatedNatIps:
       - 34.144.80.46
       - 34.144.83.75
       - 34.144.88.111
       - 34.144.94.113
       minExtraNatIpsNeeded: 0
       name: swg-autogen-nat
       numVmEndpointsWithNatMappings: 3
     network: https://www.googleapis.com/compute/projects/PROJECT_NAME/global/networks/NETWORK_NAME
   

   .

3. Actualiza la pasarela de Cloud NAT para que use el intervalo de IPs predefinido:

   gcloud compute routers nats update swg-autogen-nat  \
       --router=ROUTER_NAME \
       --nat-external-ip-pool=IPv4_ADDRESSES... \
       --region=REGION
   

   Sustituye IPv4_ADDRESSES por el nombre del recurso de dirección IPv4 externa que quieras usar, separado por una coma (,).

4. Comprueba que tu intervalo de IPs esté asignado a la puerta de enlace Cloud NAT:

   gcloud compute routers nats describe swg-autogen-nat \
       --router=ROUTER_NAME  \
       --region=REGION
   

   El resultado debería ser similar al siguiente:

   enableEndpointIndependentMapping: false
   icmpIdleTimeoutSec: 30
   logConfig:
     enable: false
     filter: ALL
   name: swg-autogen-nat
   natIpAllocateOption: MANUAL_ONLY
   natIps:
   - https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
   sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES
   

5. Actualiza la pasarela Cloud NAT para que use el modo de asignación dinámica de puertos (DPA). El modo DPA permite que el proxy web seguro use por completo las direcciones IP asignadas.

   gcloud compute routers nats update swg-autogen-nat  \
       --router=ROUTER_NAME \
       --min-ports-per-vm=2048 \
       --max-ports-per-vm=4096 \
       --enable-dynamic-port-allocation \
       --region=REGION
   

   En el caso de las marcas --min-ports-per-vm y --max-ports-per-vm, le recomendamos que use los valores 2048 y 4096, respectivamente.

   Usa el explorador de métricas para monitorizar los datos de métricas de lo siguiente y ajusta los valores mínimos y máximos del DPA según sea necesario:

   • Cloud NAT Gateway - Port usage
   • Cloud NAT Gateway - New connection count
   • Cloud NAT Gateway - Open connections

6. Verifique que la DPA esté habilitada y que se hayan definido los valores mínimo y máximo de los puertos:

   gcloud compute routers nats describe swg-autogen-nat \
       --router=ROUTER_NAME \
       --region=REGION
   

   El resultado debería ser similar al siguiente:

   enableDynamicPortAllocation: true
   enableEndpointIndependentMapping: false
   endpointTypes:
   - ENDPOINT_TYPE_SWG
   logConfig:
     enable: true
     filter: ERRORS_ONLY
   maxPortsPerVm: 4096
   minPortsPerVm: 2048
   name: swg-autogen-nat
   natIpAllocateOption: MANUAL_ONLY
   natIps:
   - https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
   sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES
   type: PUBLIC
   

Siguientes pasos

• Usar etiquetas para crear políticas
• Usar una lista de URLs para crear políticas