此页面由 Cloud Translation API 翻译。

初始设置步骤

本文档介绍了使用安全 Web 代理所需的初始设置步骤。

您必须先完成以下设置，然后才能使用安全 Web 代理：

获取必要的 Identity and Access Management 角色。
创建或选择一个 Google Cloud 项目。
启用结算功能和相关 Google Cloud API。
创建代理子网。
将 SSL 证书上传到 Certificate Manager。

您只需在首次使用安全 Web 代理时进行此设置。

获取 IAM 角色

如需获取权限，请按以下步骤操作：

如需获得预配安全 Web 代理实例所需的权限，请让管理员向您授予项目的以下 IAM 角色：
- 如需配置政策和预配安全 Web 代理实例，您需要具备： Compute Network Admin 角色 (roles/compute.networkAdmin)
- 如需上传显式安全 Web 代理 TLS 证书，您需要具备以下角色： Certificate Manager Editor 角色 (roles/certificatemanager.editor)
如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。
可选：如果您有一组用户负责持续的政策管理，请向他们授予 Security Policy Admin 角色 (roles/compute.orgSecurityPolicyAdmin)，以便他们管理安全政策。

创建 Google Cloud 项目

如需创建或选择 Google Cloud 项目，请按以下步骤操作：

控制台

在 Google Cloud 控制台的项目选择器页面上，选择或创建 Google Cloud 项目。

转到“项目选择器”

Cloud Shell

创建 Google Cloud 项目：
```
  gcloud projects create PROJECT_ID
```
将 PROJECT_ID 替换为您所需的项目 ID。
选择您创建的 Google Cloud 项目：
```
  gcloud config set project PROJECT_ID
```

启用结算功能和 API

如需启用结算和相关 Google Cloud API，请按以下步骤操作：

确保您的 Google Cloud 项目已启用结算功能。了解如何验证项目的结算状态。
启用 Compute Engine API。

启用该 API
启用 Certificate Manager API。

启用该 API
启用 Network Services API。

启用该 API
启用 Network Security API。

启用该 API

创建代理子网

为部署安全 Web 代理的每个区域创建代理子网。创建至少为 /26 的子网大小，即 64 个代理专用地址。我们建议子网大小为 /23（即 512 个代理专用地址），因为安全 Web 代理连接由为安全 Web 代理预留的 IP 地址池提供。此池用于在每个代理的出站端分配唯一的 IP 地址，以便与 Cloud NAT 和 VPC 网络中的目的地进行交互。

gcloud

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

替换以下内容：

PROXY_SUBNET_NAME：您希望为代理子网指定的名称
REGION：要在其中部署代理子网的区域
NETWORK_NAME：您的网络名称
IP_RANGE：子网范围，例如 192.168.0.0/23

部署 SSL 证书

对于安全 Web 代理，SSL 证书是可选的。如需使用 Certificate Manager 部署证书，请使用以下任一方法：

部署具有每个项目的 DNS 授权的 Google 管理的区域级证书。如需了解详情，请参阅部署 Google 管理的区域级证书。
使用 Certificate Authority Service 部署 Google 管理的区域级证书。如需了解详情，请参阅使用 CA Service 部署 Google 管理的区域级证书。
部署自行管理的区域级证书。
以下示例展示了如何使用证书管理服务部署自行管理的区域级证书。

如需创建 SSL 证书，请执行以下操作：
```
openssl req -x509 -newkey rsa:2048 \
  -keyout KEY_PATH \
  -out CERTIFICATE_PATH -days 365 \
  -subj '/CN=SWP_HOST_NAME' -nodes -addext \
  "subjectAltName=DNS:SWP_HOST_NAME"
```
替换以下内容：
- KEY_PATH：用于保存密钥的路径，例如 ~/key.pem
- CERTIFICATE_PATH：用于保存证书的路径，例如 ~/cert.pem
- SWP_HOST_NAME：安全 Web 代理实例的主机名，例如 myswp.example.com
如需将 SSL 证书上传到 Certificate Manager，请执行以下操作：
```
gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file=CERTIFICATE_PATH \
   --private-key-file=KEY_PATH \
   --location=REGION
```
替换以下内容：
- CERTIFICATE_NAME：证书的名称
- CERTIFICATE_PATH：证书文件的路径
- KEY_PATH：密钥文件的路径
如需详细了解 SSL 证书，请参阅 SSL 证书概览。