初始设置步骤

本文档介绍了使用安全 Web 代理所需的初始设置步骤。

您需要先完成以下设置,然后才能使用安全 Web 代理:

  • 获取必要的 Identity and Access Management 角色。
  • 创建或选择 Google Cloud 项目。
  • 启用结算功能和相关的 Google Cloud API。
  • 创建代理子网。
  • 将 SSL 证书上传到证书管理器。

只有在首次使用安全 Web 代理时才需要进行此设置。

获取 IAM 角色

如需获取权限,请按以下步骤操作:

  1. 如需获得预配安全 Web 代理实例所需的权限,请让管理员向您授予项目的以下 IAM 角色:

    如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

    您也可以通过自定义角色或其他预定义角色来获取所需的权限。

  2. 可选:如果您有一组用户负责持续管理政策,请向他们授予 Security Policy Admin 角色 (roles/compute.orgSecurityPolicyAdmin),以便他们管理安全政策。

创建 Google Cloud 项目

如需创建或选择 Google Cloud 项目,请按以下步骤操作:

控制台

在 Google Cloud 控制台的项目选择器页面上,选择或 创建 Google Cloud 项目

转到“项目选择器”

Cloud Shell

  • 创建 Google Cloud 项目:

      gcloud projects create PROJECT_ID
    

    PROJECT_ID 替换为您要使用的项目 ID。

  • 选择您创建的 Google Cloud 项目:

      gcloud config set project PROJECT_ID
    

启用结算功能和 API

如需启用结算功能和相关 Google Cloud API,请按照以下步骤操作:

  1. 确保您的 Google Cloud 项目已启用结算功能。了解如何验证项目的结算状态

  2. 启用 Compute Engine API。

    启用该 API

  3. 启用 Certificate Manager API。

    启用该 API

  4. 启用 Network Services API。

    启用该 API

  5. 启用 Network Security API。

    启用该 API

创建代理子网

为您部署安全 Web 代理的每个区域创建一个代理子网。创建至少包含 /26 个或 64 个代理专用地址的子网大小。我们建议 子网大小为 /23 或 512 个代理专用地址,因为安全 Web 代理 由为 Cloud Storage 存储分区预留的 IP 地址池 安全 Web 代理。此池用于在每个代理的出站端分配唯一 IP 地址,以便与 Cloud NAT 和 VPC 网络中的目的地进行交互。

gcloud

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

替换以下内容:

  • PROXY_SUBNET_NAME:您要为代理子网指定的名称
  • REGION:要部署代理子网的区域
  • NETWORK_NAME:您的网络名称
  • IP_RANGE:子网范围,例如 192.168.0.0/23

部署 SSL 证书

如需使用 Certificate Manager 部署证书,请使用以下任一方法:

  1. 如需创建 SSL 证书,请执行以下操作:

    openssl req -x509 -newkey rsa:2048 \
      -keyout KEY_PATH \
      -out CERTIFICATE_PATH -days 365 \
      -subj '/CN=SWP_HOST_NAME' -nodes -addext \
      "subjectAltName=DNS:SWP_HOST_NAME"
    

    替换以下内容:

    • KEY_PATH:用于保存密钥的路径,例如 ~/key.pem
    • CERTIFICATE_PATH:保存证书的路径,例如 ~/cert.pem
    • SWP_HOST_NAME:安全 Web 代理实例的主机名,例如 myswp.example.com
  2. 如需将 SSL 证书上传到证书管理器,请执行以下操作:

    gcloud certificate-manager certificates create CERTIFICATE_NAME \
       --certificate-file=CERTIFICATE_PATH \
       --private-key-file=KEY_PATH \
       --location=REGION
    

    替换以下内容:

    • CERTIFICATE_NAME:证书的名称
    • CERTIFICATE_PATH:证书文件的路径
    • KEY_PATH:密钥文件的路径

    如需详细了解 SSL 证书,请参阅 SSL 证书概览

后续步骤