이그레스 트래픽에 고정 IP 주소 할당

이 문서에서는 보안 웹 프록시가 이그레스 트래픽에 사용하는 자체 엔터프라이즈 IP 주소 또는 고정 Google Cloud IP 주소를 할당하는 방법을 보여줍니다.

시작하기 전에

• 초기 설정 단계를 완료합니다.

• 보안 웹 프록시에 사용하도록 예약된 고정 IPv4 주소 목록이 있는지 확인합니다. Google Cloud에서 IP 주소를 예약하려면 gcloud compute addresses create 명령어를 참조하여 주소 리소스를 만듭니다.

• Google Cloud CLI 버전 406.0.0 이상이 설치되어 있는지 확인합니다.

  gcloud version | head -n1
  

  이전 gcloud CLI 버전이 설치되어 있으면 버전을 업데이트합니다.

  gcloud components update --version=406.0.0
  

보안 웹 프록시에 고정 IP 주소 사용 설정

다음 단계를 따르세요.

1. 보안 웹 프록시 프로비저닝 중에 할당된 Cloud Router 이름을 식별합니다.

   gcloud compute routers list \
     --regions REGION_NAME \
     --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
     --format="get(name)"
   

   다음을 바꿉니다.

   • REGION_NAME: 보안 웹 프록시에 Cloud Router가 배포되는 리전
   • NETWORK_NAME: VPC 네트워크의 이름

   출력은 다음과 비슷합니다.

   swg-autogen-router-1
   

2. 보안 웹 프록시 프로비저닝 중에 할당된 자동 프로비저닝된 외부 IP 주소를 나열합니다.

   gcloud compute routers get-status ROUTER_NAME  \
     --region=REGION
   

   출력은 다음과 비슷합니다.

   kind: compute#routerStatusResponse
   result:
     natStatus:
     - autoAllocatedNatIps:
       - 34.144.80.46
       - 34.144.83.75
       - 34.144.88.111
       - 34.144.94.113
       minExtraNatIpsNeeded: 0
       name: swg-autogen-nat
       numVmEndpointsWithNatMappings: 3
     network: https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/global/networks/NETWORK_NAME
   

3. 사전 정의된 IP 범위를 사용하도록 Cloud NAT 게이트웨이를 업데이트합니다.

   gcloud compute routers nats update swg-autogen-nat  \
       --router=ROUTER_NAME \
       --nat-external-ip-pool=IPv4_ADDRESSES... \
       --region=REGION
   

   IPv4_ADDRESSES를 쉼표(,)로 구분된 사용하려는 외부 IPv4 주소 리소스의 이름으로 바꿉니다.

   보안 웹 프록시에서 할당한 고정 IP 주소 조합은 자동 확장할 수 없습니다. Cloud NAT에 대한 외부 IP 주소 목록을 제공할 때는 보안 웹 프록시가 트래픽을 처리할 수 있도록 충분한 IP 주소가 할당되어야 합니다. 최소 5개의 IP 주소를 사용하는 것이 좋습니다.

   초당 쿼리 수가 10,000개가 넘는 상당한 트래픽 볼륨이 예상되는 경우 자동 할당된 구성과 최대 사용률 워크로드로 시작하는 것이 좋습니다. 이 경우 자동 확장된 IP 주소 수를 이그레스 IP 주소를 수동으로 구성하기 위한 참조로 모니터링할 수 있습니다.

4. IP 범위가 Cloud NAT 게이트웨이에 할당되었는지 확인합니다.

   gcloud compute routers nats describe swg-autogen-nat \
     --router=ROUTER_NAME  \
     --region=REGION
   

   출력은 다음과 비슷합니다.

   enableEndpointIndependentMapping: false
   icmpIdleTimeoutSec: 30
   logConfig:
     enable: false
     filter: ALL
   name: swg-autogen-nat
   natIpAllocateOption: MANUAL_ONLY
   natIps:
   - https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
   sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES
   

다음 단계

• 태그를 사용하여 정책 만들기
• URL 목록을 사용하여 정책 만들기