Cette page a été traduite par l'API Cloud Translation.

Étapes de configuration initiale

Ce document décrit les étapes de configuration initiale requises pour utiliser Secure Web Proxy.

Avant de pouvoir utiliser le proxy Web sécurisé, effectuez la configuration suivante :

Obtenez les rôles Identity and Access Management nécessaires.
Créez ou sélectionnez un Google Cloud projet.
Activez la facturation et les API Google Cloud concernées.
Créez des sous-réseaux de proxy.
Importez un certificat SSL dans le gestionnaire de certificats.

Cette configuration n'est requise que la première fois que vous utilisez le proxy Web sécurisé.

Obtenir des rôles IAM

Pour obtenir les autorisations, procédez comme suit :

Pour obtenir les autorisations nécessaires pour provisionner une instance Secure Web Proxy, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet :
- Pour configurer des règles et provisionner une instance de proxy Web sécurisé : Rôle Administrateur de réseaux Compute (roles/compute.networkAdmin)
- Pour importer des certificats TLS de proxy Web sécurisé explicites : Rôle Éditeur Certificate Manager (roles/certificatemanager.editor)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Facultatif : Si vous avez un ensemble d'utilisateurs responsables de la gestion continue des règles, accordez-leur le rôle d'administrateur des règles de sécurité (roles/compute.orgSecurityPolicyAdmin) pour leur permettre de gérer les règles de sécurité.

Créer un projet Google Cloud

Pour créer ou sélectionner un projet Google Cloud :

Console

Dans la console Google Cloud , sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud .

Accéder au sélecteur de projet

Cloud Shell

Créez un projet : Google Cloud
```
  gcloud projects create PROJECT_ID
```
Remplacez PROJECT_ID par l'ID du projet de votre choix.
Sélectionnez le projet Google Cloud que vous avez créé :
```
  gcloud config set project PROJECT_ID
```

Activer la facturation et les API

Pour activer la facturation et les API Google Cloud concernées, procédez comme suit :

Assurez-vous que la facturation est activée pour votre projet Google Cloud . Découvrez comment vérifier l'état de facturation de vos projets.
Activez l'API Compute Engine.

Activer l'API
Activez l'API Certificate Manager.

Activer l'API
Activez l'API Network Services.

Activer l'API
Activez l'API Network Security.

Activer l'API

Créer un sous-réseau proxy

Créez un sous-réseau proxy pour chaque région dans laquelle vous déployez Secure Web Proxy. Créez un sous-réseau d'au moins /26, soit 64 adresses proxy réservées. Nous recommandons une taille de sous-réseau de /23, soit 512 adresses proxy réservées, car la connectivité Secure Web Proxy est fournie par un pool d'adresses IP réservées à Secure Web Proxy. Ce pool est utilisé pour allouer des adresses IP uniques côté sortie de chaque proxy pour l'interaction avec Cloud NAT et les destinations du réseau VPC.

gcloud

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Remplacez les éléments suivants :

PROXY_SUBNET_NAME : nom que vous souhaitez donner à votre sous-réseau proxy
REGION : région dans laquelle déployer le sous-réseau proxy
NETWORK_NAME : nom de votre réseau
IP_RANGE : plage de sous-réseau, par exemple 192.168.0.0/23

Déployer un certificat SSL

Les certificats SSL sont facultatifs pour le proxy Web sécurisé. Pour déployer des certificats à l'aide du gestionnaire de certificats, utilisez l'une des méthodes suivantes :

Déployez un certificat régional géré par Google avec une autorisation DNS par projet. Pour en savoir plus, consultez Déployer un certificat régional géré par Google.
Déployer un certificat régional géré par Google avec Certificate Authority Service. Pour en savoir plus, consultez Déployer un certificat régional géré par Google avec le service d'autorité de certification.
Déployez un certificat autogéré régional.
L'exemple suivant montre comment déployer un certificat autogéré régional à l'aide de Certificate Manager.

Pour créer un certificat SSL :
```
openssl req -x509 -newkey rsa:2048 \
  -keyout KEY_PATH \
  -out CERTIFICATE_PATH -days 365 \
  -subj '/CN=SWP_HOST_NAME' -nodes -addext \
  "subjectAltName=DNS:SWP_HOST_NAME"
```
Remplacez les éléments suivants :
- KEY_PATH : chemin d'accès pour enregistrer la clé, par exemple ~/key.pem
- CERTIFICATE_PATH : chemin d'accès pour enregistrer le certificat, par exemple ~/cert.pem
- SWP_HOST_NAME : nom d'hôte de votre instance de proxy Web sécurisé, tel que myswp.example.com
Pour importer le certificat SSL dans le gestionnaire de certificats :
```
gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file=CERTIFICATE_PATH \
   --private-key-file=KEY_PATH \
   --location=REGION
```
Remplacez les éléments suivants :
- CERTIFICATE_NAME : nom de votre certificat
- CERTIFICATE_PATH : chemin d'accès au fichier de certificat
- KEY_PATH : chemin d'accès au fichier de clé
Pour en savoir plus sur les certificats SSL, consultez la présentation des certificats SSL.