이그레스 트래픽에 고정 IP 주소 할당

이 문서에서는 보안 웹 프록시가 이그레스 트래픽에 사용하는 자체 기업 IP 주소 또는 정적 Google Cloud IP 주소를 할당하는 방법을 설명합니다.

시작하기 전에

  • 초기 설정 단계를 완료합니다.

  • 보안 웹 프록시에 사용할 예약된 고정 IPv4 주소 목록이 있는지 확인합니다. Google Cloud에서 IP 주소를 예약하려면 gcloud compute addresses create 명령어를 참고하여 주소 리소스를 만드세요.

  • Google Cloud CLI 버전 406.0.0 이상이 설치되었는지 확인합니다.

    gcloud version | head -n1

    이전 gcloud CLI 버전이 설치되어 있는 경우 버전을 업데이트합니다.

    gcloud components update --version=406.0.0

보안 웹 프록시의 고정 IP 주소 사용 설정

다음 단계를 따르세요.

  1. 보안 웹 프록시 프로비저닝 중에 할당된 Cloud Router 이름을 확인합니다.

    gcloud compute routers list \
    --region REGION \
    --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
    --format="get(name)"

    다음을 바꿉니다.

    • REGION: 보안 웹 프록시용으로 Cloud Router가 배포된 리전
    • NETWORK_NAME: VPC 네트워크의 이름

    출력은 다음과 비슷합니다.

    swg-autogen-router-1

  2. 보안 웹 프록시 프로비저닝 중에 할당된 자동 프로비저닝된 외부 IP 주소를 나열합니다.

    gcloud compute routers get-status ROUTER_NAME  \
    --region=REGION

    출력은 다음과 비슷합니다.

    kind: compute#routerStatusResponse
result:
  natStatus:
  - autoAllocatedNatIps:
    - 34.144.80.46
    - 34.144.83.75
    - 34.144.88.111
    - 34.144.94.113
    minExtraNatIpsNeeded: 0
    name: swg-autogen-nat
    numVmEndpointsWithNatMappings: 3
  network: https://www.googleapis.com/compute/projects/PROJECT_NAME/global/networks/NETWORK_NAME

  3. 사전 정의된 IP 범위를 사용하도록 Cloud NAT 게이트웨이를 업데이트합니다.

    gcloud compute routers nats update swg-autogen-nat  \
    --router=ROUTER_NAME \
    --nat-external-ip-pool=IPv4_ADDRESSES... \
    --region=REGION

    IPv4_ADDRESSES를 쉼표(,)로 구분된 사용하려는 외부 IPv4 주소 리소스의 이름으로 바꿉니다.

  4. IP 범위가 Cloud NAT 게이트웨이에 할당되었는지 확인합니다.

    gcloud compute routers nats describe swg-autogen-nat \
    --router=ROUTER_NAME  \
    --region=REGION

    출력은 다음과 비슷합니다.

    enableEndpointIndependentMapping: false
icmpIdleTimeoutSec: 30
logConfig:
  enable: false
  filter: ALL
name: swg-autogen-nat
natIpAllocateOption: MANUAL_ONLY
natIps:
- https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES

  5. 동적 포트 할당 (DPA) 모드를 사용하도록 Cloud NAT 게이트웨이를 업데이트합니다. DPA 모드를 사용하면 보안 웹 프록시가 할당된 IP 주소를 완전히 사용할 수 있습니다.

    gcloud compute routers nats update swg-autogen-nat  \
    --router=ROUTER_NAME \
    --min-ports-per-vm=2048 \
    --max-ports-per-vm=4096 \
    --enable-dynamic-port-allocation \
    --region=REGION

    --min-ports-per-vm--max-ports-per-vm 플래그의 경우 각각 20484096 값을 사용하는 것이 좋습니다.

    측정항목 탐색기를 사용하여 다음의 측정항목 데이터를 모니터링하고 필요에 따라 DPA 최솟값 및 최댓값을 조정합니다.

    • Cloud NAT Gateway - Port usage
    • Cloud NAT Gateway - New connection count
    • Cloud NAT Gateway - Open connections

  6. DPA가 사용 설정되어 있고 최소 및 최대 포트 값이 설정되어 있는지 확인합니다.

    gcloud compute routers nats describe swg-autogen-nat \
    --router=ROUTER_NAME \
    --region=REGION

    출력은 다음과 비슷합니다.

    enableDynamicPortAllocation: true
enableEndpointIndependentMapping: false
endpointTypes:
- ENDPOINT_TYPE_SWG
logConfig:
  enable: true
  filter: ERRORS_ONLY
maxPortsPerVm: 4096
minPortsPerVm: 2048
name: swg-autogen-nat
natIpAllocateOption: MANUAL_ONLY
natIps:
- https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES
type: PUBLIC

다음 단계