Etapas iniciais de configuração

Este documento descreve as etapas de configuração inicial necessárias para usar o Secure Web Proxy.

Antes de usar o proxy seguro, conclua a seguinte configuração:

  • Receba os papéis necessários do Identity and Access Management.
  • Crie ou selecione um projeto do Google Cloud .
  • Ative o faturamento e as APIs Google Cloud relevantes.
  • Crie sub-redes de proxy.
  • Faça upload de um certificado SSL no Gerenciador de certificados.

Essa configuração só é necessária na primeira vez que você usa o proxy seguro da Web.

Receber papéis do IAM

Para conseguir permissões, siga estas etapas:

  1. Para receber as permissões necessárias para provisionar uma instância do Secure Web Proxy, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:

    Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

    Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

  2. Opcional: se você tiver um conjunto de usuários responsáveis pelo gerenciamento contínuo de políticas, conceda a eles o papel de administrador de políticas de segurança (roles/compute.orgSecurityPolicyAdmin) para que possam gerenciar as políticas de segurança.

Criar um projeto Google Cloud

Para criar ou selecionar um projeto Google Cloud , siga estas etapas:

Console

No console do Google Cloud , na página do seletor de projetos, selecione ou crie um projeto do Google Cloud .

Acessar o seletor de projetos

Cloud Shell

  • Crie um Google Cloud projeto:

      gcloud projects create PROJECT_ID

    Substitua PROJECT_ID pelo ID do projeto que você quer.

  • Selecione o projeto Google Cloud que você criou:

      gcloud config set project PROJECT_ID

Ativar faturamento

Verifique se o faturamento está ativado para seu projeto do Google Cloud . Para mais informações, consulte Ativar, desativar ou alterar o faturamento de um projeto e Verificar o status de faturamento dos seus projetos.

Ative as APIs necessárias

É necessário ativar as seguintes APIs Google Cloud :

  • compute.googleapis.com
  • certificatemanager.googleapis.com
  • networkservices.googleapis.com
  • networksecurity.googleapis.com
  • privateca.googleapis.com (opcional)

Para ativar as APIs Google Cloud necessárias, faça o seguinte:

Console

  1. Ative a API Compute Engine.

    Ativar a API

  2. Ative a API Certificate Manager.

    Ativar a API

  3. Ative a API Network Services.

    Ativar a API

  4. Ativar a API Network Security.

    Ativar a API

  5. Opcional: se você planeja configurar a inspeção TLS para seu proxy, ative a API Certificate Authority Service.

    Ativar a API

gcloud

Execute este comando:

    gcloud services enable \
        --compute.googleapis.com \
        --certificatemanager.googleapis.com \
        --networkservices.googleapis.com \
        --networksecurity.googleapis.com \
        --privateca.googleapis.com

Criar uma sub-rede VPC

Crie uma sub-rede na rede VPC para cada região em que você quer implantar a instância do Secure Web Proxy. Se você já tiver criado uma sub-rede, poderá reutilizá-la como uma sub-rede VPC especificando o valor do parâmetro purpose como PRIVATE.

gcloud 

 gcloud compute networks subnets create VPC_SUBNET_NAME \
     --purpose=PRIVATE \
     --region=REGION \
     --network=NETWORK_NAME \
     --range=IP_RANGE

Substitua:

  • VPC_SUBNET_NAME: o nome que você quer para a sub-rede VPC
  • REGION: a região em que você quer implantar sua sub-rede da VPC.
  • NETWORK_NAME: o nome da rede VPC.
  • IP_RANGE: o intervalo de sub-redes, como 10.10.10.0/24

Criar uma sub-rede de proxy

Crie uma sub-rede de proxy para cada região em que você implanta o Secure Web Proxy. Crie uma sub-rede de pelo menos /26 ou 64 endereços somente proxy. Recomendamos um tamanho de sub-rede de /23, ou 512 endereços somente proxy, porque a conectividade do Secure Web Proxy é fornecida por um pool de endereços IP reservados para o Secure Web Proxy. Esse pool é usado para alocar endereços IP exclusivos no lado de saída de cada proxy para interação com o Cloud NAT e destinos na rede VPC.

gcloud 

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
     --purpose=REGIONAL_MANAGED_PROXY \
     --role=ACTIVE \
     --region=REGION \
     --network=NETWORK_NAME \
     --range=IP_RANGE

Substitua:

  • PROXY_SUBNET_NAME: o nome que você quer dar à sub-rede de proxy
  • REGION: a região em que a sub-rede de proxy será implantada
  • NETWORK_NAME: o nome da sua rede
  • IP_RANGE: o intervalo de sub-redes, como 192.168.0.0/23

Implantar um certificado SSL

Os certificados SSL são opcionais para o Secure Web Proxy. Para implantar certificados usando o Gerenciador de certificados, use um dos seguintes métodos:

  1. Para criar um certificado SSL:

    openssl req -x509 -newkey rsa:2048 \
    -keyout KEY_PATH \
    -out CERTIFICATE_PATH -days 365 \
    -subj '/CN=SWP_HOST_NAME' -nodes -addext \
    "subjectAltName=DNS:SWP_HOST_NAME"

    Substitua:

    • KEY_PATH: o caminho para salvar a chave, como ~/key.pem
    • CERTIFICATE_PATH: o caminho para salvar o certificado, como ~/cert.pem
    • SWP_HOST_NAME: o nome do host da sua instância do Secure Web Proxy, como myswp.example.com

  2. Para fazer upload do certificado SSL no Gerenciador de certificados:

    gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file=CERTIFICATE_PATH \
    --private-key-file=KEY_PATH \
    --location=REGION

    Substitua:

    • CERTIFICATE_NAME: o nome do seu certificado
    • CERTIFICATE_PATH: o caminho para o arquivo de certificado
    • KEY_PATH: o caminho para o arquivo de chave

    Para mais informações sobre certificados SSL, consulte Visão geral dos certificados SSL.

A seguir