In diesem Dokument werden die Schritte zur Ersteinrichtung beschrieben, die für die Verwendung von Secure Web Proxy erforderlich sind.
Bevor Sie Secure Web Proxy verwenden können, müssen Sie die folgenden Schritte ausführen:
- Besorgen Sie sich die erforderlichen Rollen für Identity and Access Management.
- Google Cloud-Projekt erstellen oder auswählen.
- Abrechnung und relevante Google Cloud APIs aktivieren
- Erstellen Sie Proxy-Subnetze.
- Laden Sie ein SSL-Zertifikat in den Zertifikatmanager hoch.
Diese Einrichtung ist nur erforderlich, wenn Sie Secure Web Proxy zum ersten Mal verwenden.
IAM-Rollen abrufen
So fordern Sie Berechtigungen an:
-
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zu gewähren, damit Sie die Berechtigungen erhalten, die Sie zum Bereitstellen einer Secure Web Proxy-Instanz benötigen:
-
So konfigurieren Sie Richtlinien und stellen eine Secure Web Proxy-Instanz bereit:
Compute Network Admin-Rolle (
roles/compute.networkAdmin
) -
So laden Sie explizite Secure Web Proxy-TLS-Zertifikate hoch:
Rolle „Zertifikatmanager-Bearbeiter“ (
roles/certificatemanager.editor
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
-
So konfigurieren Sie Richtlinien und stellen eine Secure Web Proxy-Instanz bereit:
Compute Network Admin-Rolle (
Optional: Wenn eine Gruppe von Nutzern für die laufende Richtlinienverwaltung zuständig ist, weisen Sie ihnen die Rolle „Security Policy Admin“ (
roles/compute.orgSecurityPolicyAdmin
) zu, damit sie Sicherheitsrichtlinien verwalten können.
Google Cloud-Projekt erstellen
So erstellen oder wählen Sie ein Google Cloud-Projekt aus:
Console
Wählen Sie in der Google Cloud Console auf der Seite für die Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.
Cloud Shell
Erstellen Sie ein Google Cloud-Projekt:
gcloud projects create PROJECT_ID
Ersetzen Sie PROJECT_ID durch die gewünschte Projekt-ID.
Wählen Sie das erstellte Google Cloud-Projekt aus:
gcloud config set project PROJECT_ID
Abrechnung und APIs aktivieren
So aktivieren Sie die Abrechnung und die relevanten Google Cloud APIs:
Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein. Weitere Informationen zum Überprüfen des Abrechnungsstatus Ihrer Projekte
Aktivieren Sie die Compute Engine API.
Proxy-Subnetz erstellen
Erstellen Sie ein Proxy-Subnetz für jede Region, in der Sie Secure Web Proxy bereitstellen. Erstellen Sie ein Subnetz mit mindestens /26 oder 64 Nur-Proxy-Adressen. Wir empfehlen eine Subnetzgröße von /23 oder 512 Nur-Proxy-Adressen, da die Secure Web Proxy-Konnektivität durch einen Pool von IP-Adressen bereitgestellt wird, die für Secure Web Proxy reserviert sind. Dieser Pool wird verwendet, um auf der ausgehenden Seite jedes Proxys eindeutige IP-Adressen für die Interaktion mit Cloud NAT und Zielen im VPC-Netzwerk zuzuweisen.
gcloud
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Ersetzen Sie Folgendes:
PROXY_SUBNET_NAME
: der gewünschte Name für das Proxy-SubnetzREGION
: Region, in der das Proxy-Subnetz bereitgestellt werden sollNETWORK_NAME
: der Name Ihres NetzwerksIP_RANGE
: der Subnetzbereich, z. B.192.168.0.0/23
SSL-Zertifikat bereitstellen
Verwenden Sie eine der folgenden Methoden, um Zertifikate mit dem Zertifikatmanager bereitzustellen:
Ein regionales, von Google verwaltetes Zertifikat mit projektspezifischer DNS-Autorisierung bereitstellen. Weitere Informationen finden Sie unter Regionales von Google verwaltetes Zertifikat bereitstellen.
Regionales von Google verwaltetes Zertifikat mit Certificate Authority Service bereitstellen. Weitere Informationen finden Sie unter Regionales von Google verwaltetes Zertifikat mit dem Zertifizierungsstellendienst bereitstellen.
Stellen Sie ein regionales selbstverwaltetes Zertifikat bereit.
Das folgende Beispiel zeigt, wie ein regionales selbstverwaltetes Zertifikat mit dem Zertifikatmanager bereitgestellt wird.
So erstellen Sie ein SSL-Zertifikat:
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"
Ersetzen Sie Folgendes:
KEY_PATH
: der Pfad zum Speichern des Schlüssels, z. B.~/key.pem
CERTIFICATE_PATH
: der Pfad zum Speichern des Zertifikats, z. B.~/cert.pem
SWP_HOST_NAME
: der Hostname für Ihre Secure Web Proxy-Instanz, z. B.myswp.example.com
So laden Sie das SSL-Zertifikat in den Zertifikatmanager hoch:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file=CERTIFICATE_PATH \ --private-key-file=KEY_PATH \ --location=REGION
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
: der Name Ihres ZertifikatsCERTIFICATE_PATH
: der Pfad zur ZertifikatsdateiKEY_PATH
: Pfad zur Schlüsseldatei
Weitere Informationen zu SSL-Zertifikaten finden Sie in der Übersicht zu SSL-Zertifikaten.
Nächste Schritte
- Secure Web Proxy-Instanz bereitstellen und testen
- Tags zum Erstellen von Richtlinien verwenden
- URL-Liste zum Erstellen von Richtlinien verwenden
- Statische IP-Adressen für ausgehenden Traffic zuweisen