本文档介绍如何分配安全 Web 代理用于出站流量的您自己的企业 IP 地址或静态 Google Cloud IP 地址。
准备工作
完成初始设置步骤。
确保您有一个预留的静态 IPv4 地址列表,供安全 Web 代理使用。如果要在 Google Cloud 中预留 IP 地址,请参阅
gcloud compute addresses create
命令以创建地址资源。验证您是否安装了 Google Cloud CLI 406.0.0 或更高版本:
gcloud version | head -n1
如果您已安装较早的 gcloud CLI 版本,请更新版本:
gcloud components update --version=406.0.0
为安全 Web 代理启用静态 IP 地址
执行以下操作:
确定在安全 Web 代理预配期间分配的 Cloud Router 路由器名称:
gcloud compute routers list \ --regions REGION_NAME \ --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \ --format="get(name)"
替换以下内容:
REGION_NAME
:为安全 Web 代理部署的 Cloud Router 区域NETWORK_NAME
:您的 VPC 网络的名称
输出类似于以下内容:
swg-autogen-router-1
列出在安全 Web 代理预配期间分配的外部自动预配 IP 地址:
gcloud compute routers get-status ROUTER_NAME \ --region=REGION
输出类似于以下内容:
kind: compute#routerStatusResponse result: natStatus: - autoAllocatedNatIps: - 34.144.80.46 - 34.144.83.75 - 34.144.88.111 - 34.144.94.113 minExtraNatIpsNeeded: 0 name: swg-autogen-nat numVmEndpointsWithNatMappings: 3 network: https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/global/networks/NETWORK_NAME
更新 Cloud NAT 网关以使用预定义的 IP 范围:
gcloud compute routers nats update swg-autogen-nat \ --router=ROUTER_NAME \ --nat-external-ip-pool=IPv4_ADDRESSES... \ --region=REGION
将
IPv4_ADDRESSES
替换为您要使用的外部 IPv4 地址资源的名称,以英文逗号分隔 (,
)。安全 Web 代理分配的这组固定 IP 地址无法自动扩缩。为 Cloud NAT 提供外部 IP 地址列表时,请确保分配足够的 IP 地址,以便安全 Web 代理处理流量。建议至少使用 5 个 IP 地址。
如果您预计流量很大(例如超过每秒 1 万次查询),我们建议您从自动分配的配置和最大利用率工作负载开始。在这种情况下,您可以监控自动扩缩的 IP 地址数量,将其作为手动配置出站流量 IP 地址的参考。
验证您的 IP 范围是否已分配给 Cloud NAT 网关:
gcloud compute routers nats describe swg-autogen-nat \ --router=ROUTER_NAME \ --region=REGION
输出类似于以下内容:
enableEndpointIndependentMapping: false icmpIdleTimeoutSec: 30 logConfig: enable: false filter: ALL name: swg-autogen-nat natIpAllocateOption: MANUAL_ONLY natIps: - https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES