En este documento, se muestra cómo asignar tus propias direcciones IP de la empresa o direcciones IP Google Cloud estáticas que usa el proxy web seguro para el tráfico de salida.
Antes de comenzar
Completa los pasos iniciales de configuración.
Asegúrate de tener una lista de direcciones IPv4 estáticas reservadas para usar en el proxy web seguro. Si quieres reservar direcciones IP en Google Cloud, consulta el comando
gcloud compute addresses createpara crear un recurso de dirección.Verifica que tengas instalada la versión 406.0.0 o posterior de Google Cloud CLI:
gcloud version | head -n1Si tienes instalada una versión anterior de gcloud CLI, actualiza la versión:
gcloud components update --version=406.0.0
Habilita las direcciones IP estáticas para el proxy web seguro
Puedes hacer lo siguiente:
Identifica el nombre de Cloud Router asignado durante el aprovisionamiento del Proxy web seguro:
gcloud compute routers list \ --region REGION \ --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \ --format="get(name)"Reemplaza lo siguiente:
REGION: Es la región en la que se implementa el Cloud Router para el proxy web seguro.NETWORK_NAME: Es el nombre de tu red de VPC.
El resultado es similar a este:
swg-autogen-router-1Haz una lista de las direcciones IP externas aprovisionadas automáticamente asignadas durante el aprovisionamiento del proxy web seguro:
gcloud compute routers get-status ROUTER_NAME \ --region=REGIONEl resultado es similar a este:
kind: compute#routerStatusResponse result: natStatus: - autoAllocatedNatIps: - 34.144.80.46 - 34.144.83.75 - 34.144.88.111 - 34.144.94.113 minExtraNatIpsNeeded: 0 name: swg-autogen-nat numVmEndpointsWithNatMappings: 3 network: https://www.googleapis.com/compute/projects/PROJECT_NAME/global/networks/NETWORK_NAMEActualiza la puerta de enlace de Cloud NAT para que use tu rango de IP predefinido:
gcloud compute routers nats update swg-autogen-nat \ --router=ROUTER_NAME \ --nat-external-ip-pool=IPv4_ADDRESSES... \ --region=REGIONReemplaza
IPv4_ADDRESSESpor el nombre del recurso de dirección IPv4 externa que deseas usar, separado por una coma (,).Verifica que tu rango de IP esté asignado a la puerta de enlace de Cloud NAT:
gcloud compute routers nats describe swg-autogen-nat \ --router=ROUTER_NAME \ --region=REGIONEl resultado es similar a este:
enableEndpointIndependentMapping: false icmpIdleTimeoutSec: 30 logConfig: enable: false filter: ALL name: swg-autogen-nat natIpAllocateOption: MANUAL_ONLY natIps: - https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGESActualiza la puerta de enlace de Cloud NAT para usar el modo de asignación dinámica de puertos (DPA). El modo DPA permite que el Proxy web seguro use por completo las direcciones IP asignadas.
gcloud compute routers nats update swg-autogen-nat \ --router=ROUTER_NAME \ --min-ports-per-vm=2048 \ --max-ports-per-vm=4096 \ --enable-dynamic-port-allocation \ --region=REGIONPara las marcas
--min-ports-per-vmy--max-ports-per-vm, te recomendamos que uses los valores2048y4096, respectivamente.Usa el Explorador de métricas para supervisar los datos de métricas de los siguientes elementos y ajustar los valores mínimos y máximos de la DPA según sea necesario:
Cloud NAT Gateway - Port usageCloud NAT Gateway - New connection countCloud NAT Gateway - Open connections
Verifica que la DPA esté habilitada y que los valores mínimos y máximos de puertos estén configurados:
gcloud compute routers nats describe swg-autogen-nat \ --router=ROUTER_NAME \ --region=REGIONEl resultado es similar a este:
enableDynamicPortAllocation: true enableEndpointIndependentMapping: false endpointTypes: - ENDPOINT_TYPE_SWG logConfig: enable: true filter: ERRORS_ONLY maxPortsPerVm: 4096 minPortsPerVm: 2048 name: swg-autogen-nat natIpAllocateOption: MANUAL_ONLY natIps: - https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES type: PUBLIC