Attribuer des adresses IP statiques pour le trafic de sortie

Ce document vous explique comment attribuer vos propres adresses IP d'entreprise, ou statiques Google Cloud, que le proxy Web sécurisé utilise pour le trafic de sortie.

Avant de commencer

  • Suivez les étapes de configuration initiale.

  • Assurez-vous de disposer d'une liste d'adresses IPv4 statiques réservées à l'utilisation du proxy Web sécurisé. Si vous souhaitez réserver des adresses IP dans Google Cloud, consultez la Commande gcloud compute addresses create pour créer une adresse ressource.

  • Vérifiez que la Google Cloud CLI version 406.0.0 ou ultérieure est installée:

    gcloud version | head -n1
    

    Si une version antérieure de la gcloud CLI est installée, mettez-la à jour:

    gcloud components update --version=406.0.0
    

Activer les adresses IP statiques pour le proxy Web sécurisé

Procédez comme suit :

  1. Identifiez le nom du routeur cloud attribué lors du provisionnement du proxy Web sécurisé :

    gcloud compute routers list \
      --regions REGION_NAME \
      --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
      --format="get(name)"
    

    Remplacez les éléments suivants :

    • REGION_NAME : région dans laquelle le routeur Cloud Router est déployé pour le proxy Web sécurisé
    • NETWORK_NAME : nom de votre réseau VPC

    Le résultat ressemble à ce qui suit :

    swg-autogen-router-1
    
  2. Listez les adresses IP externes provisionnées automatiquement qui ont été attribuées lors de la Provisionnement du proxy Web sécurisé:

    gcloud compute routers get-status ROUTER_NAME  \
      --region=REGION
    

    Le résultat ressemble à ce qui suit :

    kind: compute#routerStatusResponse
    result:
      natStatus:
      - autoAllocatedNatIps:
        - 34.144.80.46
        - 34.144.83.75
        - 34.144.88.111
        - 34.144.94.113
        minExtraNatIpsNeeded: 0
        name: swg-autogen-nat
        numVmEndpointsWithNatMappings: 3
      network: https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/global/networks/NETWORK_NAME
    
  3. Mettez à jour la passerelle Cloud NAT pour utiliser votre plage d'adresses IP prédéfinie:

    gcloud compute routers nats update swg-autogen-nat  \
        --router=ROUTER_NAME \
        --nat-external-ip-pool=IPv4_ADDRESSES... \
        --region=REGION
    

    Remplacez IPv4_ADDRESSES par le nom de la ressource d'adresse IPv4 externe que vous prévoyez d'utiliser, séparé par une virgule (,).

    L'ensemble fixe d'adresses IP attribué par le proxy Web sécurisé ne peut pas être avec autoscaling. Lorsque vous fournissez une liste d'adresses IP externes Cloud NAT, assurez-vous qu'un nombre suffisant d'adresses IP sont attribuées au traitement le trafic par le proxy Web sécurisé. Nous vous recommandons d'utiliser au moins cinq adresses IP.

    Si vous prévoyez un volume de trafic important (plus de 10 000 requêtes, par exemple) par seconde, nous vous recommandons de commencer par une configuration et une charge de travail d'utilisation maximale. Dans ce cas, vous pouvez surveiller avec autoscaling, qui vous servira de référence pour configurer manuellement les adresses IP de sortie.

  4. Vérifiez que votre plage d'adresses IP est attribuée à la passerelle Cloud NAT:

    gcloud compute routers nats describe swg-autogen-nat \
      --router=ROUTER_NAME  \
      --region=REGION
    

    Le résultat ressemble à ce qui suit :

    enableEndpointIndependentMapping: false
    icmpIdleTimeoutSec: 30
    logConfig:
      enable: false
      filter: ALL
    name: swg-autogen-nat
    natIpAllocateOption: MANUAL_ONLY
    natIps:
    - https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
    sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES
    

Étape suivante