本文档介绍了使用安全 Web 代理所需的初始设置步骤。
您需要先完成以下设置,然后才能使用安全 Web 代理:
- 获取必要的 Identity and Access Management 角色。
- 创建或选择 Google Cloud 项目。
- 启用结算功能和相关的 Google Cloud API。
- 创建代理子网。
- 将 SSL 证书上传到证书管理器。
只有在首次使用安全 Web 代理时才需要进行此设置。
获取 IAM 角色
如需获取权限,请按以下步骤操作:
-
如需获得预配安全 Web 代理实例所需的权限,请让管理员向您授予项目的以下 IAM 角色:
-
如需配置政策并预配安全 Web 代理实例,请执行以下操作:
Compute Network Admin 角色 (
roles/compute.networkAdmin
) -
如需上传明确的安全 Web 代理 TLS 证书,请执行以下操作:
Certificate Manager Editor 角色 (
roles/certificatemanager.editor
)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
-
如需配置政策并预配安全 Web 代理实例,请执行以下操作:
Compute Network Admin 角色 (
可选:如果您有一组用户负责持续管理政策,请向他们授予 Security Policy Admin 角色 (
roles/compute.orgSecurityPolicyAdmin
),以便他们管理安全政策。
创建 Google Cloud 项目
如需创建或选择 Google Cloud 项目,请按以下步骤操作:
控制台
在 Google Cloud 控制台的项目选择器页面上,选择或 创建 Google Cloud 项目。
Cloud Shell
创建 Google Cloud 项目:
gcloud projects create PROJECT_ID
将 PROJECT_ID 替换为您要使用的项目 ID。
选择您创建的 Google Cloud 项目:
gcloud config set project PROJECT_ID
启用结算功能和 API
如需启用结算功能和相关 Google Cloud API,请按照以下步骤操作:
确保您的 Google Cloud 项目已启用结算功能。了解如何验证项目的结算状态。
启用 Compute Engine API。
启用 Certificate Manager API。
启用 Network Services API。
启用 Network Security API。
创建代理子网
为您部署安全 Web 代理的每个区域创建一个代理子网。创建至少包含 /26 个或 64 个代理专用地址的子网大小。我们建议 子网大小为 /23 或 512 个代理专用地址,因为安全 Web 代理 由为 Cloud Storage 存储分区预留的 IP 地址池 安全 Web 代理。此池用于在每个代理的出站端分配唯一 IP 地址,以便与 Cloud NAT 和 VPC 网络中的目的地进行交互。
gcloud
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
替换以下内容:
PROXY_SUBNET_NAME
:您要为代理子网指定的名称REGION
:要部署代理子网的区域NETWORK_NAME
:您的网络名称IP_RANGE
:子网范围,例如192.168.0.0/23
部署 SSL 证书
如需使用 Certificate Manager 部署证书,请使用以下任一方法:
使用每个项目的 DNS 部署由 Google 管理的区域级证书 授权。如需了解详情,请参阅部署 Google 管理的区域级证书。
使用 Certificate Authority Service 部署 Google 管理的区域级证书。对于 如需了解详情,请参阅使用 CA 服务部署由 Google 管理的区域级证书。
部署自行管理的区域级证书。
以下示例展示了如何使用证书管理器部署区域级自行管理的证书。
如需创建 SSL 证书,请执行以下操作:
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"
替换以下内容:
KEY_PATH
:用于保存密钥的路径,例如~/key.pem
CERTIFICATE_PATH
:保存证书的路径,例如~/cert.pem
SWP_HOST_NAME
:安全 Web 代理实例的主机名,例如myswp.example.com
如需将 SSL 证书上传到证书管理器,请执行以下操作:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file=CERTIFICATE_PATH \ --private-key-file=KEY_PATH \ --location=REGION
替换以下内容:
CERTIFICATE_NAME
:证书的名称CERTIFICATE_PATH
:证书文件的路径KEY_PATH
:密钥文件的路径
如需详细了解 SSL 证书,请参阅 SSL 证书概览。