En este documento se explica cómo asignar tus propias direcciones IP de empresa o direcciones IP estáticas que Secure Web Proxy usa para el tráfico de salida. Google Cloud
Antes de empezar
Completa los pasos de configuración inicial.
Asegúrate de tener una lista de direcciones IPv4 estáticas reservadas para usar con el proxy web seguro. Si quieres reservar direcciones IP en Google Cloud, consulta el comando
gcloud compute addresses createpara crear un recurso de dirección.Comprueba que tienes instalada la versión 406.0.0 o una posterior de la CLI de Google Cloud:
gcloud version | head -n1Si tienes instalada una versión anterior de la CLI de gcloud, actualízala:
gcloud components update --version=406.0.0
Habilitar direcciones IP estáticas para Secure Web Proxy
Sigue estos pasos:
Identifica el nombre de Cloud Router asignado durante el aprovisionamiento de Secure Web Proxy:
gcloud compute routers list \ --region REGION \ --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \ --format="get(name)"Haz los cambios siguientes:
REGION: la región en la que se implementa Cloud Router para Secure Web ProxyNETWORK_NAME: el nombre de tu red de VPC
El resultado debería ser similar al siguiente:
swg-autogen-router-1Lista de las direcciones IP externas aprovisionadas automáticamente asignadas durante el aprovisionamiento de Secure Web Proxy:
gcloud compute routers get-status ROUTER_NAME \ --region=REGIONEl resultado debería ser similar al siguiente:
kind: compute#routerStatusResponse result: natStatus: - autoAllocatedNatIps: - 34.144.80.46 - 34.144.83.75 - 34.144.88.111 - 34.144.94.113 minExtraNatIpsNeeded: 0 name: swg-autogen-nat numVmEndpointsWithNatMappings: 3 network: https://www.googleapis.com/compute/projects/PROJECT_NAME/global/networks/NETWORK_NAMEActualiza la pasarela de Cloud NAT para que use el intervalo de IPs predefinido:
gcloud compute routers nats update swg-autogen-nat \ --router=ROUTER_NAME \ --nat-external-ip-pool=IPv4_ADDRESSES... \ --region=REGIONSustituye
IPv4_ADDRESSESpor el nombre del recurso de dirección IPv4 externa que quieras usar, separado por una coma (,).Comprueba que tu intervalo de IPs esté asignado a la puerta de enlace Cloud NAT:
gcloud compute routers nats describe swg-autogen-nat \ --router=ROUTER_NAME \ --region=REGIONEl resultado debería ser similar al siguiente:
enableEndpointIndependentMapping: false icmpIdleTimeoutSec: 30 logConfig: enable: false filter: ALL name: swg-autogen-nat natIpAllocateOption: MANUAL_ONLY natIps: - https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGESActualiza la pasarela Cloud NAT para que use el modo de asignación dinámica de puertos (DPA). El modo DPA permite que el proxy web seguro use por completo las direcciones IP asignadas.
gcloud compute routers nats update swg-autogen-nat \ --router=ROUTER_NAME \ --min-ports-per-vm=2048 \ --max-ports-per-vm=4096 \ --enable-dynamic-port-allocation \ --region=REGIONEn el caso de las marcas
--min-ports-per-vmy--max-ports-per-vm, le recomendamos que use los valores2048y4096, respectivamente.Usa el explorador de métricas para monitorizar los datos de métricas de lo siguiente y ajusta los valores mínimos y máximos del DPA según sea necesario:
Cloud NAT Gateway - Port usageCloud NAT Gateway - New connection countCloud NAT Gateway - Open connections
Verifique que la DPA esté habilitada y que se hayan definido los valores mínimo y máximo de los puertos:
gcloud compute routers nats describe swg-autogen-nat \ --router=ROUTER_NAME \ --region=REGIONEl resultado debería ser similar al siguiente:
enableDynamicPortAllocation: true enableEndpointIndependentMapping: false endpointTypes: - ENDPOINT_TYPE_SWG logConfig: enable: true filter: ERRORS_ONLY maxPortsPerVm: 4096 minPortsPerVm: 2048 name: swg-autogen-nat natIpAllocateOption: MANUAL_ONLY natIps: - https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES type: PUBLIC