Etapas iniciais de configuração

Este documento descreve as etapas iniciais de configuração necessárias para usar o proxy seguro.

Antes de usar o Secure Web Proxy, conclua a seguinte configuração:

  • Conseguir os papéis necessários do Identity and Access Management.
  • Criar ou selecionar um projeto do Google Cloud.
  • Ative o faturamento e as APIs relevantes do Google Cloud.
  • Crie sub-redes de proxy.
  • Faça upload de um certificado SSL no Gerenciador de certificados.

Essa configuração só será necessária na primeira vez que você usar o Secure Web Proxy.

Obter papéis do IAM

Para receber permissões, siga estas etapas:

  1. Para receber as permissões necessárias para provisionar uma instância do proxy da Web seguro, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:

    Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

    Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

  2. Opcional: se você tiver um conjunto de usuários responsáveis pela política contínua de segurança, conceda a eles o papel de Administrador da política (roles/compute.orgSecurityPolicyAdmin) para permitir que essa pessoa gerencie a segurança políticas.

Criar um projeto do Google Cloud

Para criar ou selecionar um projeto do Google Cloud, siga estas etapas:

Console

No console do Google Cloud, na página do seletor de projetos, selecione ou Crie um projeto do Google Cloud.

Acessar o seletor de projetos

Cloud Shell

  • Crie um projeto do Google Cloud:

      gcloud projects create PROJECT_ID
    

    Substitua PROJECT_ID pelo ID do projeto que você querem.

  • Selecione o projeto do Google Cloud que você criou:

      gcloud config set project PROJECT_ID
    

Ativar faturamento e APIs

Para ativar o faturamento e as APIs relevantes do Google Cloud, siga estas etapas:

  1. Verifique se a cobrança está ativada para o seu projeto do Google Cloud. Saiba como verificar o status de faturamento de seus projetos.

  2. Ative a API Compute Engine.

    Ativar a API

  3. Ative a API Certificate Manager.

    Ativar a API

  4. Ative a API Network Services.

    Ativar a API

  5. Ative a API Network Security.

    Ativar a API

Criar uma sub-rede de proxy

Crie uma sub-rede de proxy para cada região em que você implantar o Secure Web Proxy. Crie um tamanho de sub-rede de pelo menos /26 ou 64 endereços somente proxy. Recomendamos um tamanho de sub-rede de /23 ou 512 endereços somente proxy, porque a conectividade do Secure Web Proxy é fornecida por um pool de endereços IP reservados para o Secure Web Proxy. Ele é usado para alocar endereços IP exclusivos saída de cada proxy para interação com o Cloud NAT e os destinos a rede VPC.

gcloud

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Substitua:

  • PROXY_SUBNET_NAME: o nome que você quer para a sub-rede de proxy.
  • REGION: a região em que a sub-rede de proxy será implantada.
  • NETWORK_NAME: o nome da sua rede
  • IP_RANGE: o intervalo de sub-rede, como 192.168.0.0/23.

Implantar um certificado SSL

Para implantar certificados usando o Gerenciador de certificados, use um dos seguintes métodos:

  1. Para criar um certificado SSL:

    openssl req -x509 -newkey rsa:2048 \
      -keyout KEY_PATH \
      -out CERTIFICATE_PATH -days 365 \
      -subj '/CN=SWP_HOST_NAME' -nodes -addext \
      "subjectAltName=DNS:SWP_HOST_NAME"
    

    Substitua:

    • KEY_PATH: o caminho para salvar a chave, como ~/key.pem
    • CERTIFICATE_PATH: o caminho para salvar o certificado, como ~/cert.pem.
    • SWP_HOST_NAME: o nome do host do Instância do Secure Web Proxy, como myswp.example.com
  2. Para fazer o upload do certificado SSL no Gerenciador de certificados:

    gcloud certificate-manager certificates create CERTIFICATE_NAME \
       --certificate-file=CERTIFICATE_PATH \
       --private-key-file=KEY_PATH \
       --location=REGION
    

    Substitua:

    • CERTIFICATE_NAME: o nome do certificado.
    • CERTIFICATE_PATH: o caminho para o arquivo de certificado.
    • KEY_PATH: o caminho para o arquivo de chave

    Para mais informações sobre certificados SSL, consulte Visão geral dos certificados SSL.

A seguir