Attribuer des adresses IP statiques pour le trafic de sortie

Ce document explique comment attribuer vos propres adresses IP d'entreprise, ou adresses IP Google Cloud statiques, que Secure Web Proxy utilise pour le trafic sortant.

Avant de commencer

• Suivez les étapes de configuration initiale.

• Assurez-vous de disposer d'une liste d'adresses IPv4 statiques réservées à l'utilisation du proxy Web sécurisé. Si vous souhaitez réserver des adresses IP dans Google Cloud, consultez la commande gcloud compute addresses create pour créer une ressource d'adresse.

• Vérifiez que vous avez installé la version 406.0.0 ou ultérieure de Google Cloud CLI:

  gcloud version | head -n1
  

  Si vous avez installé une version antérieure de gcloud CLI, mettez-la à jour:

  gcloud components update --version=406.0.0
  

Activer les adresses IP statiques pour le proxy Web sécurisé

Procédez comme suit :

1. Identifiez le nom de Cloud Router attribué lors du provisionnement du proxy Web sécurisé:

   gcloud compute routers list \
       --region REGION \
       --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
       --format="get(name)"
   

   Remplacez les éléments suivants :

   • REGION: région dans laquelle le routeur Cloud Router est déployé pour le proxy Web sécurisé
   • NETWORK_NAME: nom de votre réseau VPC

   Le résultat ressemble à ce qui suit :

   swg-autogen-router-1
   

2. Listez les adresses IP externes provisionnées automatiquement attribuées lors du provisionnement du proxy Web sécurisé:

   gcloud compute routers get-status ROUTER_NAME  \
       --region=REGION
   

   Le résultat ressemble à ce qui suit :

   kind: compute#routerStatusResponse
   result:
     natStatus:
     - autoAllocatedNatIps:
       - 34.144.80.46
       - 34.144.83.75
       - 34.144.88.111
       - 34.144.94.113
       minExtraNatIpsNeeded: 0
       name: swg-autogen-nat
       numVmEndpointsWithNatMappings: 3
     network: https://www.googleapis.com/compute/projects/PROJECT_NAME/global/networks/NETWORK_NAME
   

   .

3. Mettez à jour la passerelle Cloud NAT pour qu'elle utilise votre plage d'adresses IP prédéfinie:

   gcloud compute routers nats update swg-autogen-nat  \
       --router=ROUTER_NAME \
       --nat-external-ip-pool=IPv4_ADDRESSES... \
       --region=REGION
   

   Remplacez IPv4_ADDRESSES par le nom de la ressource d'adresse IPv4 externe que vous prévoyez d'utiliser, séparé par une virgule (,).

4. Vérifiez que votre plage d'adresses IP est attribuée à la passerelle Cloud NAT:

   gcloud compute routers nats describe swg-autogen-nat \
       --router=ROUTER_NAME  \
       --region=REGION
   

   Le résultat ressemble à ce qui suit :

   enableEndpointIndependentMapping: false
   icmpIdleTimeoutSec: 30
   logConfig:
     enable: false
     filter: ALL
   name: swg-autogen-nat
   natIpAllocateOption: MANUAL_ONLY
   natIps:
   - https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
   sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES
   

5. Mettez à jour la passerelle Cloud NAT pour qu'elle utilise le mode d'allocation de ports dynamique (DPA). Le mode DPA permet au proxy Web sécurisé d'utiliser pleinement les adresses IP attribuées.

   gcloud compute routers nats update swg-autogen-nat  \
       --router=ROUTER_NAME \
       --min-ports-per-vm=2048 \
       --max-ports-per-vm=4096 \
       --enable-dynamic-port-allocation \
       --region=REGION
   

   Pour les indicateurs --min-ports-per-vm et --max-ports-per-vm, nous vous recommandons d'utiliser les valeurs 2048 et 4096, respectivement.

   Utilisez l'Explorateur de métriques pour surveiller les données de métriques pour les éléments suivants et ajuster les valeurs minimales et maximales de la DPA si nécessaire:

   • Cloud NAT Gateway - Port usage
   • Cloud NAT Gateway - New connection count
   • Cloud NAT Gateway - Open connections

6. Vérifiez que l'allocation de ports dynamique est activée et que les valeurs minimales et maximales des ports sont définies:

   gcloud compute routers nats describe swg-autogen-nat \
       --router=ROUTER_NAME \
       --region=REGION
   

   Le résultat ressemble à ce qui suit :

   enableDynamicPortAllocation: true
   enableEndpointIndependentMapping: false
   endpointTypes:
   - ENDPOINT_TYPE_SWG
   logConfig:
     enable: true
     filter: ERRORS_ONLY
   maxPortsPerVm: 4096
   minPortsPerVm: 2048
   name: swg-autogen-nat
   natIpAllocateOption: MANUAL_ONLY
   natIps:
   - https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
   sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES
   type: PUBLIC
   

Étape suivante

• Utiliser des tags pour créer des règles
• Utiliser une liste d'URL pour créer des règles