Attribuer des adresses IP statiques pour le trafic de sortie

Ce document explique comment attribuer les adresses IP de votre entreprise, ou adresses IP Google Cloud statiques, que le proxy Web sécurisé utilise pour le trafic de sortie.

Avant de commencer

• Suivez la procédure de configuration initiale.

• Assurez-vous de disposer d'une liste d'adresses IPv4 statiques réservées au proxy Web sécurisé. Si vous souhaitez réserver des adresses IP dans Google Cloud, utilisez la commande gcloud compute addresses create pour créer une ressource d'adresse.

• Vérifiez que la Google Cloud CLI version 406.0.0 ou ultérieure est installée:

  gcloud version | head -n1
  

  Si une version antérieure de gcloud CLI est installée, mettez-la à jour:

  gcloud components update --version=406.0.0
  

Activer les adresses IP statiques pour le proxy Web sécurisé

Procédez comme suit :

1. Identifiez le nom de Cloud Router attribué lors du provisionnement du proxy Web sécurisé:

   gcloud compute routers list \
     --regions REGION_NAME \
     --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
     --format="get(name)"
   

   Remplacez les éléments suivants :

   • REGION_NAME: région dans laquelle Cloud Router est déployé pour le proxy Web sécurisé
   • NETWORK_NAME: nom de votre réseau VPC

   Le résultat ressemble à ce qui suit :

   swg-autogen-router-1
   

2. Répertoriez les adresses IP externes provisionnées automatiquement et attribuées lors du provisionnement du proxy Web sécurisé:

   gcloud compute routers get-status ROUTER_NAME  \
     --region=REGION
   

   Le résultat ressemble à ce qui suit :

   kind: compute#routerStatusResponse
   result:
     natStatus:
     - autoAllocatedNatIps:
       - 34.144.80.46
       - 34.144.83.75
       - 34.144.88.111
       - 34.144.94.113
       minExtraNatIpsNeeded: 0
       name: swg-autogen-nat
       numVmEndpointsWithNatMappings: 3
     network: https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/global/networks/NETWORK_NAME
   

3. Mettez à jour la passerelle Cloud NAT pour utiliser votre plage d'adresses IP prédéfinie:

   gcloud compute routers nats update swg-autogen-nat  \
       --router=ROUTER_NAME \
       --nat-external-ip-pool=IPv4_ADDRESSES... \
       --region=REGION
   

   Remplacez IPv4_ADDRESSES par le nom de la ressource d'adresse IPv4 externe que vous souhaitez utiliser, en les séparant par une virgule (,).

   L'ensemble fixe d'adresses IP attribuées par le proxy Web sécurisé ne peut pas faire l'objet d'un autoscaling. Lorsque vous fournissez une liste d'adresses IP externes pour Cloud NAT, assurez-vous que suffisamment d'adresses IP sont attribuées pour traiter le trafic via le proxy Web sécurisé. Nous vous recommandons d'utiliser au moins cinq adresses IP.

   Si vous prévoyez un volume de trafic important, tel que plus de 10 000 requêtes par seconde, nous vous recommandons de commencer par une configuration attribuée automatiquement et une charge de travail d'utilisation maximale. Dans ce cas, vous pouvez surveiller le nombre d'adresses IP avec autoscaling et ainsi vous servir de référence pour configurer manuellement vos adresses IP de sortie.

4. Vérifiez que votre plage d'adresses IP est attribuée à la passerelle Cloud NAT:

   gcloud compute routers nats describe swg-autogen-nat \
     --router=ROUTER_NAME  \
     --region=REGION
   

   Le résultat ressemble à ce qui suit :

   enableEndpointIndependentMapping: false
   icmpIdleTimeoutSec: 30
   logConfig:
     enable: false
     filter: ALL
   name: swg-autogen-nat
   natIpAllocateOption: MANUAL_ONLY
   natIps:
   - https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
   sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES
   

Étape suivante

• Créer des règles à l'aide de tags
• Créer des règles à l'aide d'une liste d'URL