本文档介绍如何分配安全 Web 代理用于出站流量的您自己的企业 IP 地址或静态 Google Cloud IP 地址。
准备工作
完成初始设置步骤。
确保您有一个预留的静态 IPv4 地址列表,供安全 Web 代理使用。如果要在 Google Cloud 中预留 IP 地址,请参阅
gcloud compute addresses create命令以创建地址资源。验证您是否安装了 Google Cloud CLI 406.0.0 或更高版本:
gcloud version | head -n1如果您已安装较早的 gcloud CLI 版本,请更新版本:
gcloud components update --version=406.0.0
为安全 Web 代理启用静态 IP 地址
执行以下操作:
确定在安全 Web 代理预配期间分配的 Cloud Router 路由器名称:
gcloud compute routers list \ --regions REGION_NAME \ --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \ --format="get(name)"替换以下内容:
REGION_NAME:为安全 Web 代理部署的 Cloud Router 区域NETWORK_NAME:您的 VPC 网络的名称
输出类似于以下内容:
swg-autogen-router-1列出在安全 Web 代理预配期间分配的外部自动预配 IP 地址:
gcloud compute routers get-status ROUTER_NAME \ --region=REGION输出类似于以下内容:
kind: compute#routerStatusResponse result: natStatus: - autoAllocatedNatIps: - 34.144.80.46 - 34.144.83.75 - 34.144.88.111 - 34.144.94.113 minExtraNatIpsNeeded: 0 name: swg-autogen-nat numVmEndpointsWithNatMappings: 3 network: https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/global/networks/NETWORK_NAME更新 Cloud NAT 网关以使用预定义的 IP 范围:
gcloud compute routers nats update swg-autogen-nat \ --router=ROUTER_NAME \ --nat-external-ip-pool=IPv4_ADDRESSES... \ --region=REGION将
IPv4_ADDRESSES替换为您要使用的外部 IPv4 地址资源的名称,以英文逗号分隔 (,)。安全 Web 代理分配的这组固定 IP 地址无法自动扩缩。为 Cloud NAT 提供外部 IP 地址列表时,请确保分配足够的 IP 地址,以便安全 Web 代理处理流量。建议至少使用 5 个 IP 地址。
如果您预计流量很大(例如超过每秒 1 万次查询),我们建议您从自动分配的配置和最大利用率工作负载开始。在这种情况下,您可以监控自动扩缩的 IP 地址数量,将其作为手动配置出站流量 IP 地址的参考。
验证您的 IP 范围是否已分配给 Cloud NAT 网关:
gcloud compute routers nats describe swg-autogen-nat \ --router=ROUTER_NAME \ --region=REGION输出类似于以下内容:
enableEndpointIndependentMapping: false icmpIdleTimeoutSec: 30 logConfig: enable: false filter: ALL name: swg-autogen-nat natIpAllocateOption: MANUAL_ONLY natIps: - https://www.googleapis.com/compute/beta/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES