下り（外向き）トラフィックの静的 IP アドレスを割り当てる

このドキュメントでは、Secure Web Proxy が下り（外向き）トラフィックに使用する、独自のエンタープライズ IP アドレスまたは静的 Google Cloud IP アドレスを割り当てる方法について説明します。

準備

• 初期設定手順を完了します。

• Secure Web Proxy 用に予約した静的 IPv4 アドレスのリストがあることを確認します。Google Cloud で IP アドレスを予約する場合は、gcloud compute addresses create コマンドでアドレス リソースを作成します。

• Google Cloud CLI バージョン 406.0.0 以降がインストールされていることを確認します。

  gcloud version | head -n1
  

  以前のバージョンの gcloud CLI がインストールされている場合は、バージョンを更新します。

  gcloud components update --version=406.0.0
  

Secure Web Proxy の静的 IP アドレスを有効にする

手順は次のとおりです。

1. Secure Web Proxy のプロビジョニング時に割り当てられた Cloud Router 名を特定します。

   gcloud compute routers list \
     --regions REGION_NAME \
     --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
     --format="get(name)"
   

   以下を置き換えます。

   • REGION_NAME: Cloud Router が　Secure Web Proxy 用にデプロイされているリージョン
   • NETWORK_NAME: VPC ネットワークの名前。

   出力は次のようになります。

   swg-autogen-router-1
   

2. Secure Web Proxy のプロビジョニング時に割り当てられた外部自動プロビジョニングされた IP アドレスを一覧表示します。

   gcloud compute routers get-status ROUTER_NAME  \
     --region=REGION
   

   出力は次のようになります。

   kind: compute#routerStatusResponse
   result:
     natStatus:
     - autoAllocatedNatIps:
       - 34.144.80.46
       - 34.144.83.75
       - 34.144.88.111
       - 34.144.94.113
       minExtraNatIpsNeeded: 0
       name: swg-autogen-nat
       numVmEndpointsWithNatMappings: 3
     network: https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/global/networks/NETWORK_NAME
   

3. 事前定義された IP 範囲を使用するように Cloud NAT ゲートウェイを更新します。

   gcloud compute routers nats update swg-autogen-nat  \
       --router=ROUTER_NAME \
       --nat-external-ip-pool=IPv4_ADDRESSES... \
       --region=REGION
   

   IPv4_ADDRESSES は、使用する外部 IPv4 アドレス リソースの名前に置き換えます。名前はカンマ（,）で区切ります。

   Secure Web Proxy によって割り当てられた固定の IP アドレスのセットは、自動スケーリングできません。Cloud NAT の外部 IP アドレスのリストを指定する場合は、Secure Web Proxy によるトラフィックの処理に十分な IP アドレスが割り当てられていることを確認します。少なくとも 5 つの IP アドレスを指定することをおすすめします。

   秒間クエリ数が 1 万件を超えるクエリなど、トラフィック量が非常に多い場合は、自動割り当て構成と最大使用率のワークロードから始めることをおすすめします。この場合、下り（外向き）IP アドレスを手動で構成する際の参照として、自動スケーリングされた IP アドレス数をモニタリングできます。

4. IP 範囲が Cloud NAT ゲートウェイに割り当てられていることを確認します。

   gcloud compute routers nats describe swg-autogen-nat \
     --router=ROUTER_NAME  \
     --region=REGION
   

   出力は次のようになります。

   enableEndpointIndependentMapping: false
   icmpIdleTimeoutSec: 30
   logConfig:
     enable: false
     filter: ALL
   name: swg-autogen-nat
   natIpAllocateOption: MANUAL_ONLY
   natIps:
   - https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
   sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES
   

次のステップ

• タグを使用してポリシーを作成する
• URL リストを使用してポリシーを作成する