Questo documento descrive i passaggi di configurazione iniziali necessari per utilizzare Secure Web Proxy.
Prima di poter utilizzare Secure Web Proxy, completa la seguente configurazione:
- Ottieni i ruoli di Identity and Access Management necessari.
- Crea o seleziona un progetto Google Cloud.
- Abilita la fatturazione e le API Google Cloud pertinenti.
- Crea subnet proxy.
- Carica un certificato SSL in Certificate Manager.
Questa configurazione è necessaria solo la prima volta che utilizzi Secure Web Proxy.
Ottenere i ruoli IAM
Per ottenere le autorizzazioni:
-
Per ottenere le autorizzazioni necessarie per eseguire il provisioning di un'istanza di Secure Web Proxy, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:
-
Per configurare i criteri e eseguire il provisioning di un'istanza di Secure Web Proxy:
Ruolo Amministratore di rete di Compute (
roles/compute.networkAdmin
) -
Per caricare certificati TLS espliciti di Secure Web Proxy:
Ruolo Editor di Certificate Manager (
roles/certificatemanager.editor
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
-
Per configurare i criteri e eseguire il provisioning di un'istanza di Secure Web Proxy:
Ruolo Amministratore di rete di Compute (
(Facoltativo) Se hai un gruppo di utenti responsabili della gestione continua dei criteri, concedi loro il ruolo Amministratore dei criteri di sicurezza (
roles/compute.orgSecurityPolicyAdmin
) per consentirgli di gestire i criteri di sicurezza.
Crea un progetto Google Cloud
Per creare o selezionare un progetto Google Cloud:
Console
Nella console Google Cloud, nella pagina di selezione del progetto, seleziona o crea un progetto Google Cloud.
Cloud Shell
Crea un progetto Google Cloud:
gcloud projects create PROJECT_ID
Sostituisci PROJECT_ID con l'ID progetto che preferisci.
Seleziona il progetto Google Cloud che hai creato:
gcloud config set project PROJECT_ID
Abilita fatturazione e API
Per attivare la fatturazione e le API Google Cloud pertinenti, segui questi passaggi:
Verifica che la fatturazione sia attivata per il tuo progetto Google Cloud. Scopri come verificare lo stato di fatturazione dei tuoi progetti.
Abilita l'API Compute Engine.
Abilita l'API Certificate Manager.
Abilita l'API Network Services.
Abilita l'API Network Security.
Crea una subnet proxy
Crea una subnet proxy per ogni regione in cui esegui il deployment di Secure Web Proxy. Crea una subnet di almeno /26 o 64 indirizzi solo proxy. Consigliamo una dimensione della subnet di /23 o 512 indirizzi solo proxy, perché la connettività di Secure Web Proxy è fornita da un pool di indirizzi IP riservati a Secure Web Proxy. Questo pool viene utilizzato per allocare indirizzi IP univoci sul lato di uscita di ogni proxy per l'interazione con Cloud NAT e le destinazioni nella rete VPC.
gcloud
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Sostituisci quanto segue:
PROXY_SUBNET_NAME
: il nome che vuoi assegnare alla subnet proxyREGION
: la regione in cui implementare la subnet proxyNETWORK_NAME
: il nome della tua reteIP_RANGE
: l'intervallo di subnet, ad esempio192.168.0.0/23
Esegui il deployment di un certificato SSL
Per eseguire il deployment dei certificati utilizzando Certificate Manager, utilizza uno dei seguenti metodi:
Esegui il deployment di un certificato gestito da Google a livello di regione con autorizzazione DNS per progetto. Per ulteriori informazioni, vedi Eseguire il deployment di un certificato gestito da Google a livello di regione.
Esegui il deployment di un certificato gestito da Google a livello di regione con Certificate Authority Service. Per maggiori informazioni, vedi Eseguire il deployment di un certificato gestito da Google a livello di regione con il servizio CA.
Esegui il deployment di un certificato autogestito a livello di regione.
L'esempio seguente mostra come eseguire il deployment di un certificato autogestito regionale utilizzando Certificate Manager.
Per creare un certificato SSL:
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"
Sostituisci quanto segue:
KEY_PATH
: il percorso per salvare la chiave, ad esempio~/key.pem
CERTIFICATE_PATH
: il percorso per salvare il certificato, ad esempio~/cert.pem
SWP_HOST_NAME
: il nome host dell'istanza di Secure Web Proxy, ad esempiomyswp.example.com
Per caricare il certificato SSL in Certificate Manager:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file=CERTIFICATE_PATH \ --private-key-file=KEY_PATH \ --location=REGION
Sostituisci quanto segue:
CERTIFICATE_NAME
: il nome del certificatoCERTIFICATE_PATH
: il percorso del file del certificatoKEY_PATH
: il percorso del file della chiave
Per ulteriori informazioni sui certificati SSL, consulta Panoramica dei certificati SSL.
Passaggi successivi
- Esegui il deployment e il test di un'istanza di Secure Web Proxy
- Utilizzare i tag per creare criteri
- Utilizzare un elenco di URL per creare criteri
- Assegna indirizzi IP statici per il traffico in uscita