Ce document explique comment attribuer les adresses IP de votre entreprise, ou adresses IP Google Cloud statiques, que le proxy Web sécurisé utilise pour le trafic de sortie.
Avant de commencer
Suivez la procédure de configuration initiale.
Assurez-vous de disposer d'une liste d'adresses IPv4 statiques réservées au proxy Web sécurisé. Si vous souhaitez réserver des adresses IP dans Google Cloud, utilisez la commande
gcloud compute addresses create
pour créer une ressource d'adresse.Vérifiez que la Google Cloud CLI version 406.0.0 ou ultérieure est installée:
gcloud version | head -n1
Si une version antérieure de gcloud CLI est installée, mettez-la à jour:
gcloud components update --version=406.0.0
Activer les adresses IP statiques pour le proxy Web sécurisé
Procédez comme suit :
Identifiez le nom de Cloud Router attribué lors du provisionnement du proxy Web sécurisé:
gcloud compute routers list \ --regions REGION_NAME \ --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \ --format="get(name)"
Remplacez les éléments suivants :
REGION_NAME
: région dans laquelle Cloud Router est déployé pour le proxy Web sécuriséNETWORK_NAME
: nom de votre réseau VPC
Le résultat ressemble à ce qui suit :
swg-autogen-router-1
Répertoriez les adresses IP externes provisionnées automatiquement et attribuées lors du provisionnement du proxy Web sécurisé:
gcloud compute routers get-status ROUTER_NAME \ --region=REGION
Le résultat ressemble à ce qui suit :
kind: compute#routerStatusResponse result: natStatus: - autoAllocatedNatIps: - 34.144.80.46 - 34.144.83.75 - 34.144.88.111 - 34.144.94.113 minExtraNatIpsNeeded: 0 name: swg-autogen-nat numVmEndpointsWithNatMappings: 3 network: https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/global/networks/NETWORK_NAME
Mettez à jour la passerelle Cloud NAT pour utiliser votre plage d'adresses IP prédéfinie:
gcloud compute routers nats update swg-autogen-nat \ --router=ROUTER_NAME \ --nat-external-ip-pool=IPv4_ADDRESSES... \ --region=REGION
Remplacez
IPv4_ADDRESSES
par le nom de la ressource d'adresse IPv4 externe que vous souhaitez utiliser, en les séparant par une virgule (,
).L'ensemble fixe d'adresses IP attribuées par le proxy Web sécurisé ne peut pas faire l'objet d'un autoscaling. Lorsque vous fournissez une liste d'adresses IP externes pour Cloud NAT, assurez-vous que suffisamment d'adresses IP sont attribuées pour traiter le trafic via le proxy Web sécurisé. Nous vous recommandons d'utiliser au moins cinq adresses IP.
Si vous prévoyez un volume de trafic important, tel que plus de 10 000 requêtes par seconde, nous vous recommandons de commencer par une configuration attribuée automatiquement et une charge de travail d'utilisation maximale. Dans ce cas, vous pouvez surveiller le nombre d'adresses IP avec autoscaling et ainsi vous servir de référence pour configurer manuellement vos adresses IP de sortie.
Vérifiez que votre plage d'adresses IP est attribuée à la passerelle Cloud NAT:
gcloud compute routers nats describe swg-autogen-nat \ --router=ROUTER_NAME \ --region=REGION
Le résultat ressemble à ce qui suit :
enableEndpointIndependentMapping: false icmpIdleTimeoutSec: 30 logConfig: enable: false filter: ALL name: swg-autogen-nat natIpAllocateOption: MANUAL_ONLY natIps: - https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES