Ersteinrichtung

In diesem Dokument werden die ersten Schritte zur Einrichtung beschrieben, die für die Verwendung des sicheren Web-Proxys erforderlich sind.

Bevor Sie Secure Web Proxy verwenden können, müssen Sie die folgenden Einrichtungsschritte ausführen:

  • Rufen Sie die erforderlichen Rollen für Identity and Access Management ab.
  • Google Cloud-Projekt erstellen oder auswählen.
  • Aktivieren Sie die Abrechnung und relevante Google Cloud APIs.
  • Erstellen Sie Proxy-Subnetze.
  • Laden Sie ein SSL-Zertifikat in den Zertifikatmanager hoch.

Diese Einrichtung ist nur erforderlich, wenn Sie Secure Web Proxy zum ersten Mal verwenden.

IAM-Rollen erhalten

So erhalten Sie Berechtigungen:

  1. Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Bereitstellen einer Secure Web Proxy-Instanz benötigen:

    Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

    Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

  2. Optional: Wenn eine Gruppe von Nutzern für die laufende Richtlinie verantwortlich ist dem Management die Rolle „Administrator für Sicherheitsrichtlinien“ zu (roles/compute.orgSecurityPolicyAdmin), damit dieser die Sicherheit verwalten kann Richtlinien.

Google Cloud-Projekt erstellen

So erstellen oder wählen Sie ein Google Cloud-Projekt aus:

Console

Wählen Sie in der Google Cloud Console auf der Seite für die Projektauswahl Erstellen Sie ein Google Cloud-Projekt.

Zur Projektauswahl

Cloud Shell

  • Erstellen Sie ein Google Cloud-Projekt:

      gcloud projects create PROJECT_ID
    

    Ersetzen Sie PROJECT_ID durch die gewünschte Projekt-ID.

  • Wählen Sie das von Ihnen erstellte Google Cloud-Projekt aus:

      gcloud config set project PROJECT_ID
    

Abrechnung und APIs aktivieren

So aktivieren Sie die Abrechnung und relevante Google Cloud APIs:

  1. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein. Weitere Informationen zum Prüfen des Abrechnungsstatus Ihrer Projekte

  2. Aktivieren Sie die Compute Engine API.

    API aktivieren

Proxy-Subnetz erstellen

Erstellen Sie ein Proxy-Subnetz für jede Region, in der Sie den sicheren Web-Proxy bereitstellen. Erstellen Sie eine Subnetzgröße von mindestens /26 oder 64 Nur-Proxy-Adressen. Wir empfehlen eine Subnetzgröße von /23 oder 512 Nur-Proxy-Adressen, da die Secure Web Proxy-Verbindung über einen Pool von IP-Adressen bereitgestellt wird, die für Secure Web Proxy reserviert sind. Mit diesem Pool werden eindeutige IP-Adressen auf der ausgehenden Seite jedes Proxys für die Interaktion mit Cloud NAT und Zielen im VPC-Netzwerk zugewiesen.

gcloud

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Ersetzen Sie Folgendes:

  • PROXY_SUBNET_NAME: der gewünschte Name für das Proxy-Subnetz
  • REGION: Region, in der das Proxy-Subnetz bereitgestellt werden soll
  • NETWORK_NAME: Name Ihres Werbenetzwerks
  • IP_RANGE: der Subnetzbereich, z. B. 192.168.0.0/23

SSL-Zertifikat bereitstellen

Sie haben folgende Möglichkeiten, Zertifikate mit Certificate Manager bereitzustellen:

  1. So erstellen Sie ein SSL-Zertifikat:

    openssl req -x509 -newkey rsa:2048 \
      -keyout KEY_PATH \
      -out CERTIFICATE_PATH -days 365 \
      -subj '/CN=SWP_HOST_NAME' -nodes -addext \
      "subjectAltName=DNS:SWP_HOST_NAME"
    

    Ersetzen Sie Folgendes:

    • KEY_PATH: der Pfad zum Speichern des Schlüssels, z. B. ~/key.pem
    • CERTIFICATE_PATH: der Pfad zum Speichern des Zertifikats, z. B. ~/cert.pem
    • SWP_HOST_NAME: der Hostname Ihrer Secure Web Proxy-Instanz, z. B. myswp.example.com
  2. So laden Sie das SSL-Zertifikat in Certificate Manager hoch:

    gcloud certificate-manager certificates create CERTIFICATE_NAME \
       --certificate-file=CERTIFICATE_PATH \
       --private-key-file=KEY_PATH \
       --location=REGION
    

    Ersetzen Sie Folgendes:

    • CERTIFICATE_NAME: der Name Ihres Zertifikats
    • CERTIFICATE_PATH: Der Pfad zur Zertifikatsdatei.
    • KEY_PATH: Pfad zur Schlüsseldatei

    Weitere Informationen zu SSL-Zertifikaten finden Sie unter SSL-Zertifikate.

Nächste Schritte