In diesem Dokument erfahren Sie, wie Sie Ihre eigenen Unternehmens-IP-Adressen oder statische Google Cloud-IP-Adressen zuweisen, die Secure Web Proxy für ausgehenden Traffic verwendet.
Hinweise
Schließen Sie die Ersteinrichtungsschritte ab.
Achten Sie darauf, dass Sie eine Liste statischer IPv4-Adressen haben, die für Secure Web Proxy reserviert sind. Wenn Sie IP-Adressen in Google Cloud reservieren möchten, erstellen Sie mit dem Befehl
gcloud compute addresses create
eine Adressressource.Prüfen Sie, ob Sie die Google Cloud CLI 406.0.0 oder höher installiert haben:
gcloud version | head -n1
Wenn Sie eine frühere Version der gcloud CLI installiert haben, aktualisieren Sie die Version:
gcloud components update --version=406.0.0
Statische IP-Adressen für Secure Web Proxy aktivieren
Gehen Sie dazu so vor:
Ermitteln Sie den Cloud Router-Namen, der während der Bereitstellung des Secure Web Proxys zugewiesen wurde:
gcloud compute routers list \ --regions REGION_NAME \ --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \ --format="get(name)"
Ersetzen Sie Folgendes:
REGION_NAME
: Region, in der der Cloud Router für Secure Web Proxy bereitgestellt wirdNETWORK_NAME
: der Name Ihres VPC-Netzwerks
Die Ausgabe sieht in etwa so aus:
swg-autogen-router-1
Listen Sie die automatisch bereitgestellten externen IP-Adressen auf, die während der Secure Web Proxy-Bereitstellung zugewiesen wurden:
gcloud compute routers get-status ROUTER_NAME \ --region=REGION
Die Ausgabe sieht in etwa so aus:
kind: compute#routerStatusResponse result: natStatus: - autoAllocatedNatIps: - 34.144.80.46 - 34.144.83.75 - 34.144.88.111 - 34.144.94.113 minExtraNatIpsNeeded: 0 name: swg-autogen-nat numVmEndpointsWithNatMappings: 3 network: https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/global/networks/NETWORK_NAME
Aktualisieren Sie das Cloud NAT-Gateway so, dass der vordefinierte IP-Bereich verwendet wird:
gcloud compute routers nats update swg-autogen-nat \ --router=ROUTER_NAME \ --nat-external-ip-pool=IPv4_ADDRESSES... \ --region=REGION
Ersetzen Sie
IPv4_ADDRESSES
durch den Namen der externen IPv4-Adressressource, die Sie verwenden möchten, getrennt durch ein Komma (,
).Der von Secure Web Proxy zugewiesene feste Satz von IP-Adressen kann nicht automatisch skaliert werden. Wenn Sie eine Liste externer IP-Adressen für Cloud NAT bereitstellen, müssen Sie darauf achten, dass genügend IP-Adressen zugewiesen sind, um den Traffic durch Secure Web Proxy zu verarbeiten. Wir empfehlen mindestens fünf IP-Adressen.
Wenn Sie ein erhebliches Trafficvolumen erwarten, z. B. mehr als 10.000 Abfragen pro Sekunde, empfehlen wir, mit einer automatisch zugewiesenen Konfiguration und einer maximalen Auslastungsarbeitslast zu beginnen. In diesem Fall können Sie die Anzahl der automatisch skalierten IP-Adressen als Referenz für die manuelle Konfiguration der ausgehenden IP-Adressen überwachen.
Prüfen Sie, ob Ihr IP-Bereich dem Cloud NAT-Gateway zugewiesen ist:
gcloud compute routers nats describe swg-autogen-nat \ --router=ROUTER_NAME \ --region=REGION
Die Ausgabe sieht in etwa so aus:
enableEndpointIndependentMapping: false icmpIdleTimeoutSec: 30 logConfig: enable: false filter: ALL name: swg-autogen-nat natIpAllocateOption: MANUAL_ONLY natIps: - https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES