Este documento descreve as etapas iniciais de configuração necessárias para usar o proxy seguro.
Antes de usar o Secure Web Proxy, conclua a seguinte configuração:
- Conseguir os papéis necessários do Identity and Access Management.
- Criar ou selecionar um projeto do Google Cloud.
- Ative o faturamento e as APIs relevantes do Google Cloud.
- Crie sub-redes de proxy.
- Faça upload de um certificado SSL no Gerenciador de certificados.
Essa configuração só será necessária na primeira vez que você usar o Secure Web Proxy.
Obter papéis do IAM
Para receber permissões, siga estas etapas:
-
Para receber as permissões necessárias para provisionar uma instância do proxy da Web seguro, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:
-
Para configurar políticas e provisionar uma instância do Secure Web Proxy:
Função de administrador de rede do Compute (
roles/compute.networkAdmin
) -
Para fazer upload de certificados TLS explícitos do Secure Web Proxy:
Papel de Editor do Gerenciador de certificados (
roles/certificatemanager.editor
)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
-
Para configurar políticas e provisionar uma instância do Secure Web Proxy:
Função de administrador de rede do Compute (
Opcional: se você tiver um conjunto de usuários responsáveis pela política contínua de segurança, conceda a eles o papel de Administrador da política (
roles/compute.orgSecurityPolicyAdmin
) para permitir que essa pessoa gerencie a segurança políticas.
Criar um projeto do Google Cloud
Para criar ou selecionar um projeto do Google Cloud, siga estas etapas:
Console
No console do Google Cloud, na página do seletor de projetos, selecione ou Crie um projeto do Google Cloud.
Cloud Shell
Crie um projeto do Google Cloud:
gcloud projects create PROJECT_ID
Substitua PROJECT_ID pelo ID do projeto que você querem.
Selecione o projeto do Google Cloud que você criou:
gcloud config set project PROJECT_ID
Ativar faturamento e APIs
Para ativar o faturamento e as APIs relevantes do Google Cloud, siga estas etapas:
Verifique se a cobrança está ativada para o seu projeto do Google Cloud. Saiba como verificar o status de faturamento de seus projetos.
Ative a API Compute Engine.
Ative a API Certificate Manager.
Ative a API Network Services.
Ative a API Network Security.
Criar uma sub-rede de proxy
Crie uma sub-rede de proxy para cada região em que você implantar o Secure Web Proxy. Crie um tamanho de sub-rede de pelo menos /26 ou 64 endereços somente proxy. Recomendamos um tamanho de sub-rede de /23 ou 512 endereços somente proxy, porque a conectividade do Secure Web Proxy é fornecida por um pool de endereços IP reservados para o Secure Web Proxy. Ele é usado para alocar endereços IP exclusivos saída de cada proxy para interação com o Cloud NAT e os destinos a rede VPC.
gcloud
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Substitua:
PROXY_SUBNET_NAME
: o nome que você quer para a sub-rede de proxy.REGION
: a região em que a sub-rede de proxy será implantada.NETWORK_NAME
: o nome da sua redeIP_RANGE
: o intervalo de sub-rede, como192.168.0.0/23
.
Implantar um certificado SSL
Para implantar certificados usando o Gerenciador de certificados, use um dos seguintes métodos:
Implante um certificado regional gerenciado pelo Google com autorização de DNS por projeto. Para mais informações, consulte Implantar um certificado regional gerenciado pelo Google.
Implante um certificado regional gerenciado pelo Google com o Certificate Authority Service. Para mais informações, consulte Implantar um certificado regional gerenciado pelo Google com o serviço de AC.
Implantar um certificado autogerenciado regional.
O exemplo a seguir mostra como implantar um certificado autogerenciado regional usando o Gerenciador de certificados.
Para criar um certificado SSL:
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"
Substitua:
KEY_PATH
: o caminho para salvar a chave, como~/key.pem
CERTIFICATE_PATH
: o caminho para salvar o certificado, como~/cert.pem
.SWP_HOST_NAME
: o nome do host do Instância do Secure Web Proxy, comomyswp.example.com
Para fazer o upload do certificado SSL no Gerenciador de certificados:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file=CERTIFICATE_PATH \ --private-key-file=KEY_PATH \ --location=REGION
Substitua:
CERTIFICATE_NAME
: o nome do certificado.CERTIFICATE_PATH
: o caminho para o arquivo de certificado.KEY_PATH
: o caminho para o arquivo de chave
Para mais informações sobre certificados SSL, consulte Visão geral dos certificados SSL.
A seguir
- Implantar e testar uma instância do Secure Web Proxy
- Usar tags para criar políticas
- Usar uma lista de URLs para criar políticas
- Atribuir endereços IP estáticos para o tráfego de saída