Dokumen ini menjelaskan langkah-langkah penyiapan awal yang diperlukan untuk menggunakan Secure Web Proxy.
Sebelum dapat menggunakan Secure Web Proxy, selesaikan penyiapan berikut:
- Dapatkan peran Identity and Access Management yang diperlukan.
- Membuat atau memilih project Google Cloud.
- Aktifkan penagihan dan Google Cloud API yang relevan.
- Buat subnet proxy.
- Upload sertifikat SSL ke Certificate Manager.
Penyiapan ini hanya diperlukan saat pertama kali Anda menggunakan Secure Web Proxy.
Mendapatkan peran IAM
Untuk mendapatkan izin, ikuti langkah-langkah berikut:
-
Untuk mendapatkan izin yang diperlukan guna menyediakan instance Secure Web Proxy, minta administrator untuk memberi Anda peran IAM berikut di project Anda:
-
Untuk mengonfigurasi kebijakan dan menyediakan instance Secure Web Proxy:
Peran Admin Jaringan Compute (
roles/compute.networkAdmin
) -
Untuk mengupload sertifikat TLS Secure Web Proxy eksplisit:
Peran Editor Pengelola Sertifikat (
roles/certificatemanager.editor
)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
-
Untuk mengonfigurasi kebijakan dan menyediakan instance Secure Web Proxy:
Peran Admin Jaringan Compute (
Opsional: Jika Anda memiliki sekelompok pengguna yang bertanggung jawab atas pengelolaan kebijakan yang sedang berlangsung, berikan peran Admin Kebijakan Keamanan (
roles/compute.orgSecurityPolicyAdmin
) kepada mereka agar dapat mengelola kebijakan keamanan.
Membuat project Google Cloud
Untuk membuat atau memilih project Google Cloud, ikuti langkah-langkah berikut:
Konsol
Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.
Cloud Shell
Membuat project Google Cloud:
gcloud projects create PROJECT_ID
Ganti PROJECT_ID dengan project ID yang Anda inginkan.
Pilih project Google Cloud yang Anda buat:
gcloud config set project PROJECT_ID
Mengaktifkan penagihan dan API
Untuk mengaktifkan penagihan dan Google Cloud API yang relevan, ikuti langkah-langkah berikut:
Pastikan penagihan diaktifkan untuk project Google Cloud Anda. Pelajari cara memverifikasi status penagihan project Anda.
Aktifkan Compute Engine API.
Aktifkan Certificate Manager API.
Aktifkan Network Services API.
Aktifkan Network Security API.
Membuat subnet proxy
Buat subnet proxy untuk setiap region tempat Anda men-deploy Secure Web Proxy. Buat ukuran subnet minimal /26, atau 64 alamat khusus proxy. Sebaiknya gunakan ukuran subnet /23, atau 512 alamat khusus proxy, karena konektivitas Secure Web Proxy disediakan oleh kumpulan alamat IP yang dicadangkan untuk Secure Web Proxy. Kumpulan ini digunakan untuk mengalokasikan alamat IP unik di sisi keluar setiap proxy untuk berinteraksi dengan Cloud NAT dan tujuan di jaringan VPC.
gcloud
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Ganti kode berikut:
PROXY_SUBNET_NAME
: nama yang Anda inginkan untuk subnet proxyREGION
: region tempat men-deploy subnet proxyNETWORK_NAME
: nama jaringan AndaIP_RANGE
: rentang subnet, seperti192.168.0.0/23
Men-deploy sertifikat SSL
Untuk men-deploy sertifikat menggunakan Pengelola Sertifikat, gunakan salah satu metode berikut:
Men-deploy sertifikat yang dikelola Google regional dengan otorisasi DNS per project. Untuk mengetahui informasi selengkapnya, lihat Men-deploy sertifikat yang dikelola Google secara regional.
Men-deploy sertifikat yang dikelola Google regional dengan Certificate Authority Service. Untuk mengetahui informasi selengkapnya, lihat Men-deploy sertifikat yang dikelola Google regional dengan Layanan CA.
Men-deploy sertifikat yang dikelola sendiri secara regional.
Contoh berikut menunjukkan cara men-deploy sertifikat yang dikelola sendiri secara regional menggunakan Pengelola Sertifikat.
Untuk membuat sertifikat SSL:
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"
Ganti kode berikut:
KEY_PATH
: jalur untuk menyimpan kunci, seperti~/key.pem
CERTIFICATE_PATH
: jalur untuk menyimpan sertifikat, seperti~/cert.pem
SWP_HOST_NAME
: nama host untuk instance Secure Web Proxy Anda, sepertimyswp.example.com
Untuk mengupload sertifikat SSL ke Pengelola Sertifikat:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file=CERTIFICATE_PATH \ --private-key-file=KEY_PATH \ --location=REGION
Ganti kode berikut:
CERTIFICATE_NAME
: nama sertifikat AndaCERTIFICATE_PATH
: jalur ke file sertifikatKEY_PATH
: jalur ke file kunci
Untuk informasi selengkapnya tentang sertifikat SSL, lihat Ringkasan sertifikat SSL.
Langkah selanjutnya
- Men-deploy dan menguji instance Secure Web Proxy
- Menggunakan tag untuk membuat kebijakan
- Menggunakan daftar URL untuk membuat kebijakan
- Menetapkan alamat IP statis untuk traffic keluar