Este documento mostra como atribuir seus próprios endereços IP corporativos ou estáticos Google Cloud que o Secure Web Proxy usa para o tráfego de saída.
Antes de começar
Conclua as etapas de configuração inicial.
Confira se você tem uma lista de endereços IPv4 estáticos reservados para usar com o Proxy da Web seguro. Se você quiser reservar endereços IP em Google Cloud, consulte o comando
gcloud compute addresses createpara criar um recurso de endereço.Verifique se você tem a versão 406.0.0 ou mais recente da Google Cloud CLI instalada:
gcloud version | head -n1Se você tiver uma versão anterior da CLI gcloud instalada, atualize a versão:
gcloud components update --version=406.0.0
Ativar endereços IP estáticos para o Secure Web Proxy
Faça o seguinte:
Identifique o nome do Cloud Router atribuído durante o provisionamento do Secure Web Proxy:
gcloud compute routers list \ --region REGION \ --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \ --format="get(name)"Substitua:
REGION: a região em que o Cloud Router é implantado para o Proxy seguro da WebNETWORK_NAME: o nome da rede VPC.
O resultado será assim:
swg-autogen-router-1Liste os endereços IP externos provisionados automaticamente atribuídos durante o provisionamento do proxy da Web seguro:
gcloud compute routers get-status ROUTER_NAME \ --region=REGIONO resultado será assim:
kind: compute#routerStatusResponse result: natStatus: - autoAllocatedNatIps: - 34.144.80.46 - 34.144.83.75 - 34.144.88.111 - 34.144.94.113 minExtraNatIpsNeeded: 0 name: swg-autogen-nat numVmEndpointsWithNatMappings: 3 network: https://www.googleapis.com/compute/projects/PROJECT_NAME/global/networks/NETWORK_NAMEAtualize o gateway do Cloud NAT para usar seu intervalo de IP predefinido:
gcloud compute routers nats update swg-autogen-nat \ --router=ROUTER_NAME \ --nat-external-ip-pool=IPv4_ADDRESSES... \ --region=REGIONSubstitua
IPv4_ADDRESSESpelo nome do recurso de endereço IPv4 externo que você pretende usar, separado por uma vírgula (,).Verifique se o intervalo de IPs foi atribuído ao gateway do Cloud NAT:
gcloud compute routers nats describe swg-autogen-nat \ --router=ROUTER_NAME \ --region=REGIONO resultado será assim:
enableEndpointIndependentMapping: false icmpIdleTimeoutSec: 30 logConfig: enable: false filter: ALL name: swg-autogen-nat natIpAllocateOption: MANUAL_ONLY natIps: - https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGESAtualize o gateway do Cloud NAT para usar o modo de alocação de porta dinâmica (DPA, na sigla em inglês). O modo DPA permite que o Secure Web Proxy use totalmente os endereços IP atribuídos.
gcloud compute routers nats update swg-autogen-nat \ --router=ROUTER_NAME \ --min-ports-per-vm=2048 \ --max-ports-per-vm=4096 \ --enable-dynamic-port-allocation \ --region=REGIONPara as flags
--min-ports-per-vme--max-ports-per-vm, recomendamos usar os valores2048e4096, respectivamente.Use o Metrics Explorer para monitorar os dados de métricas para o seguinte e ajustar os valores mínimo e máximo de DPA conforme necessário:
Cloud NAT Gateway - Port usageCloud NAT Gateway - New connection countCloud NAT Gateway - Open connections
Verifique se a DPA está ativada e se os valores mínimo e máximo da porta estão definidos:
gcloud compute routers nats describe swg-autogen-nat \ --router=ROUTER_NAME \ --region=REGIONO resultado será assim:
enableDynamicPortAllocation: true enableEndpointIndependentMapping: false endpointTypes: - ENDPOINT_TYPE_SWG logConfig: enable: true filter: ERRORS_ONLY maxPortsPerVm: 4096 minPortsPerVm: 2048 name: swg-autogen-nat natIpAllocateOption: MANUAL_ONLY natIps: - https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES type: PUBLIC