Passaggi di configurazione iniziale

Questo documento descrive i passaggi di configurazione iniziali necessari per utilizzare Secure Web Proxy.

Prima di poter utilizzare Secure Web Proxy, completa la seguente configurazione:

  • Ottieni i ruoli di Identity and Access Management necessari.
  • Crea o seleziona un progetto Google Cloud.
  • Abilita la fatturazione e le API Google Cloud pertinenti.
  • Crea subnet proxy.
  • Carica un certificato SSL in Certificate Manager.

Questa configurazione è necessaria solo la prima volta che utilizzi Secure Web Proxy.

Ottenere i ruoli IAM

Per ottenere le autorizzazioni:

  1. Per ottenere le autorizzazioni necessarie per eseguire il provisioning di un'istanza di Secure Web Proxy, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

    Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

    Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

  2. (Facoltativo) Se hai un gruppo di utenti responsabili della gestione continua dei criteri, concedi loro il ruolo Amministratore dei criteri di sicurezza (roles/compute.orgSecurityPolicyAdmin) per consentirgli di gestire i criteri di sicurezza.

Crea un progetto Google Cloud

Per creare o selezionare un progetto Google Cloud:

Console

Nella console Google Cloud, nella pagina di selezione del progetto, seleziona o crea un progetto Google Cloud.

Vai al selettore dei progetti

Cloud Shell

  • Crea un progetto Google Cloud:

      gcloud projects create PROJECT_ID
    

    Sostituisci PROJECT_ID con l'ID progetto che preferisci.

  • Seleziona il progetto Google Cloud che hai creato:

      gcloud config set project PROJECT_ID
    

Abilita fatturazione e API

Per attivare la fatturazione e le API Google Cloud pertinenti, segui questi passaggi:

  1. Verifica che la fatturazione sia attivata per il tuo progetto Google Cloud. Scopri come verificare lo stato di fatturazione dei tuoi progetti.

  2. Abilita l'API Compute Engine.

    Abilitare l'API

  3. Abilita l'API Certificate Manager.

    Abilitare l'API

  4. Abilita l'API Network Services.

    Abilitare l'API

  5. Abilita l'API Network Security.

    Abilitare l'API

Crea una subnet proxy

Crea una subnet proxy per ogni regione in cui esegui il deployment di Secure Web Proxy. Crea una subnet di almeno /26 o 64 indirizzi solo proxy. Consigliamo una dimensione della subnet di /23 o 512 indirizzi solo proxy, perché la connettività di Secure Web Proxy è fornita da un pool di indirizzi IP riservati a Secure Web Proxy. Questo pool viene utilizzato per allocare indirizzi IP univoci sul lato di uscita di ogni proxy per l'interazione con Cloud NAT e le destinazioni nella rete VPC.

gcloud

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Sostituisci quanto segue:

  • PROXY_SUBNET_NAME: il nome che vuoi assegnare alla subnet proxy
  • REGION: la regione in cui implementare la subnet proxy
  • NETWORK_NAME: il nome della tua rete
  • IP_RANGE: l'intervallo di subnet, ad esempio 192.168.0.0/23

Esegui il deployment di un certificato SSL

Per eseguire il deployment dei certificati utilizzando Certificate Manager, utilizza uno dei seguenti metodi:

  1. Per creare un certificato SSL:

    openssl req -x509 -newkey rsa:2048 \
      -keyout KEY_PATH \
      -out CERTIFICATE_PATH -days 365 \
      -subj '/CN=SWP_HOST_NAME' -nodes -addext \
      "subjectAltName=DNS:SWP_HOST_NAME"
    

    Sostituisci quanto segue:

    • KEY_PATH: il percorso per salvare la chiave, ad esempio ~/key.pem
    • CERTIFICATE_PATH: il percorso per salvare il certificato, ad esempio ~/cert.pem
    • SWP_HOST_NAME: il nome host dell'istanza di Secure Web Proxy, ad esempio myswp.example.com
  2. Per caricare il certificato SSL in Certificate Manager:

    gcloud certificate-manager certificates create CERTIFICATE_NAME \
       --certificate-file=CERTIFICATE_PATH \
       --private-key-file=KEY_PATH \
       --location=REGION
    

    Sostituisci quanto segue:

    • CERTIFICATE_NAME: il nome del certificato
    • CERTIFICATE_PATH: il percorso del file del certificato
    • KEY_PATH: il percorso del file della chiave

    Per ulteriori informazioni sui certificati SSL, consulta Panoramica dei certificati SSL.

Passaggi successivi