Cette page a été traduite par l'API Cloud Translation.

Étapes de configuration initiale

Ce document décrit les premières étapes de configuration requises pour utiliser le proxy Web sécurisé.

Avant de pouvoir utiliser le proxy Web sécurisé, vous devez effectuer la configuration suivante :

Obtenez les rôles Identity and Access Management nécessaires.
Créez ou sélectionnez un projet Google Cloud.
Activer la facturation et les API Google Cloud pertinentes
Créez des sous-réseaux proxy.
Importez un certificat SSL dans le gestionnaire de certificats.

Cette configuration n'est requise que la première fois que vous utilisez le proxy Web sécurisé.

Obtenir des rôles IAM

Pour obtenir des autorisations, procédez comme suit :

Pour obtenir les autorisations nécessaires pour provisionner une instance de proxy Web sécurisé, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet :
- Pour configurer des règles et provisionner une instance de proxy Web sécurisé: Rôle d'administrateur réseau Compute (roles/compute.networkAdmin)
- Pour importer des certificats TLS explicites pour le proxy Web sécurisé: Rôle d'éditeur du gestionnaire de certificats (roles/certificatemanager.editor)
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Facultatif : Si un ensemble d'utilisateurs est chargé de la gestion continue des règles, attribuez-lui le rôle Administrateur des règles de sécurité (roles/compute.orgSecurityPolicyAdmin) pour lui permettre de gérer les règles de sécurité.

Créer un projet Google Cloud

Pour créer ou sélectionner un projet Google Cloud, procédez comme suit :

Console

Dans la console Google Cloud, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

Accéder au sélecteur de projet

Cloud Shell

Créez un projet Google Cloud :
```
  gcloud projects create PROJECT_ID
```
Remplacez PROJECT_ID par l'ID du projet que vous voulez.
Sélectionnez le projet Google Cloud que vous avez créé :
```
  gcloud config set project PROJECT_ID
```

Activer la facturation et les API

Pour activer la facturation et les API Google Cloud pertinentes, procédez comme suit:

Vérifiez que la facturation est activée pour votre projet Google Cloud. Découvrez comment vérifier l'état de facturation de vos projets.
Activez l'API Compute Engine.

Activer l'API

Créer un sous-réseau proxy

Créez un sous-réseau proxy pour chaque région dans laquelle vous déployez le proxy Web sécurisé. Créez un sous-réseau d'au moins /26, soit 64 adresses proxy réservées. Nous vous recommandons une taille de sous-réseau de /23, soit 512 adresses proxy réservées, car le proxy Web sécurisé la connectivité est fournie par un pool d'adresses IP proxy Web sécurisé. Ce pool permet d'allouer des adresses IP uniques côté sortie de chaque proxy pour interagir avec Cloud NAT et les destinations du réseau VPC.

gcloud

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Remplacez les éléments suivants :

PROXY_SUBNET_NAME: nom souhaité pour votre sous-réseau proxy
REGION: région dans laquelle déployer le sous-réseau proxy
NETWORK_NAME: nom de votre réseau
IP_RANGE: plage de sous-réseau, telle que 192.168.0.0/23

Déployer un certificat SSL

Pour déployer des certificats à l'aide du gestionnaire de certificats, utilisez l'une des méthodes suivantes:

Déployez un certificat régional géré par Google avec une autorisation DNS par projet. Pour en savoir plus, consultez Déployer un certificat régional géré par Google.
Déployez un certificat régional géré par Google avec Certificate Authority Service. Pour Pour en savoir plus, consultez Déployer un certificat régional géré par Google avec le service CA.
Déployez un certificat autogéré régional.
L'exemple suivant montre comment déployer un certificat régional autogéré à l'aide du gestionnaire de certificats.

Pour créer un certificat SSL :
```
openssl req -x509 -newkey rsa:2048 \
  -keyout KEY_PATH \
  -out CERTIFICATE_PATH -days 365 \
  -subj '/CN=SWP_HOST_NAME' -nodes -addext \
  "subjectAltName=DNS:SWP_HOST_NAME"
```
Remplacez les éléments suivants :
- KEY_PATH: chemin d'accès à l'enregistrement de la clé, par exemple ~/key.pem
- CERTIFICATE_PATH : chemin d'accès pour enregistrer le certificat (par exemple, ~/cert.pem)
- SWP_HOST_NAME: nom d'hôte de votre Instance de proxy Web sécurisée, telle que myswp.example.com
Pour importer le certificat SSL dans le Gestionnaire de certificats :
```
gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file=CERTIFICATE_PATH \
   --private-key-file=KEY_PATH \
   --location=REGION
```
Remplacez les éléments suivants :
- CERTIFICATE_NAME: nom de votre certificat
- CERTIFICATE_PATH : chemin d'accès au fichier de certificat
- KEY_PATH: chemin d'accès au fichier de clé
Pour en savoir plus sur les certificats SSL, consultez la présentation des certificats SSL.