下り（外向き）トラフィックに静的 IP アドレスを割り当てる

このドキュメントでは、Secure Web Proxy が下り（外向き）トラフィックに使用する、独自のエンタープライズ IP アドレスまたは静的 Google Cloud IP アドレスを割り当てる方法について説明します。

準備

• 初期設定を完了します。

• Secure Web Proxy 用に予約した静的 IPv4 アドレスのリストがあることを確認します。Google Cloud で IP アドレスを予約する場合は、gcloud compute addresses create コマンドを参照してアドレス リソースを作成します。

• Google Cloud CLI バージョン 406.0.0 以降がインストールされていることを確認します。

  gcloud version | head -n1
  

  以前のバージョンの gcloud CLI がインストールされている場合は、バージョンを更新します。

  gcloud components update --version=406.0.0
  

Secure Web Proxy の静的 IP アドレスを有効にする

手順は次のとおりです。

1. Secure Web Proxy のプロビジョニング時に割り当てられた Cloud Router 名を特定します。

   gcloud compute routers list \
     --regions REGION_NAME \
     --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
     --format="get(name)"
   

   以下を置き換えます。

   • REGION_NAME: Cloud Router が　Secure Web Proxy 用にデプロイされているリージョン
   • NETWORK_NAME: VPC ネットワークの名前。

   出力は次のようになります。

   swg-autogen-router-1
   

2. Secure Web Proxy のプロビジョニング時に割り当てられた外部自動プロビジョニングされた IP アドレスを一覧表示します。

   gcloud compute routers get-status ROUTER_NAME  \
     --region=REGION
   

   出力は次のようになります。

   kind: compute#routerStatusResponse
   result:
     natStatus:
     - autoAllocatedNatIps:
       - 34.144.80.46
       - 34.144.83.75
       - 34.144.88.111
       - 34.144.94.113
       minExtraNatIpsNeeded: 0
       name: swg-autogen-nat
       numVmEndpointsWithNatMappings: 3
     network: https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/global/networks/NETWORK_NAME
   

3. 事前定義された IP 範囲を使用するように Cloud NAT ゲートウェイを更新します。

   gcloud compute routers nats update swg-autogen-nat  \
       --router=ROUTER_NAME \
       --nat-external-ip-pool=IPv4_ADDRESSES... \
       --region=REGION
   

   IPv4_ADDRESSES は、使用する外部 IPv4 アドレス リソースをカンマ（,）で区切って置き換えます。

   Secure Web Proxy によって割り当てられた固定の IP アドレスのセットは、自動スケーリングできません。Cloud NAT の外部 IP アドレスのリストを指定する場合は、Secure Web Proxy によるトラフィックの処理に十分な IP アドレスが割り当てられていることを確認します。少なくとも 5 つの IP アドレスをおすすめします。

   毎秒 10,000 件を超えるトラフィック量などが予想される場合は、自動的に割り当てられた構成と最大使用率のワークロードから始めることをおすすめします。この場合、下り（外向き）IP アドレスを手動で構成するためのリファレンスとして、自動スケーリングされた IP アドレスの数をモニタリングできます。

4. IP 範囲が Cloud NAT ゲートウェイに割り当てられていることを確認します。

   gcloud compute routers nats describe swg-autogen-nat \
     --router=ROUTER_NAME  \
     --region=REGION
   

   出力は次のようになります。

   enableEndpointIndependentMapping: false
   icmpIdleTimeoutSec: 30
   logConfig:
     enable: false
     filter: ALL
   name: swg-autogen-nat
   natIpAllocateOption: MANUAL_ONLY
   natIps:
   - https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
   sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES
   

次のステップ

• タグを使用してポリシーを作成する
• URL リストを使用してポリシーを作成する