Esta página foi traduzida pela API Cloud Translation.

Etapas iniciais de configuração

Este documento descreve as etapas iniciais de configuração necessárias para usar o proxy seguro.

Antes de usar o Secure Web Proxy, conclua a seguinte configuração:

Conseguir os papéis necessários do Identity and Access Management.
Criar ou selecionar um projeto do Google Cloud.
Ative o faturamento e as APIs relevantes do Google Cloud.
Crie sub-redes de proxy.
Faça upload de um certificado SSL no Gerenciador de certificados.

Essa configuração só será necessária na primeira vez que você usar o Secure Web Proxy.

Obter papéis do IAM

Para receber permissões, siga estas etapas:

Para receber as permissões necessárias para provisionar uma instância do proxy da Web seguro, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:
- Para configurar políticas e provisionar uma instância do Secure Web Proxy: Função de administrador de rede do Compute (roles/compute.networkAdmin)
- Para fazer upload de certificados TLS explícitos do Secure Web Proxy: Papel de Editor do Gerenciador de certificados (roles/certificatemanager.editor)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Opcional: se você tiver um conjunto de usuários responsáveis pela política contínua de segurança, conceda a eles o papel de Administrador da política (roles/compute.orgSecurityPolicyAdmin) para permitir que essa pessoa gerencie a segurança políticas.

Criar um projeto do Google Cloud

Para criar ou selecionar um projeto do Google Cloud, siga estas etapas:

Console

No console do Google Cloud, na página do seletor de projetos, selecione ou Crie um projeto do Google Cloud.

Acessar o seletor de projetos

Cloud Shell

Crie um projeto do Google Cloud:
```
  gcloud projects create PROJECT_ID
```
Substitua PROJECT_ID pelo ID do projeto que você querem.
Selecione o projeto do Google Cloud que você criou:
```
  gcloud config set project PROJECT_ID
```

Ativar faturamento e APIs

Para ativar o faturamento e as APIs relevantes do Google Cloud, siga estas etapas:

Verifique se a cobrança está ativada para o seu projeto do Google Cloud. Saiba como verificar o status de faturamento de seus projetos.
Ative a API Compute Engine.

Ativar a API
Ative a API Certificate Manager.

Ativar a API
Ative a API Network Services.

Ativar a API
Ative a API Network Security.

Ativar a API

Criar uma sub-rede de proxy

Crie uma sub-rede de proxy para cada região em que você implantar o Secure Web Proxy. Crie um tamanho de sub-rede de pelo menos /26 ou 64 endereços somente proxy. Recomendamos um tamanho de sub-rede de /23 ou 512 endereços somente proxy, porque a conectividade do Secure Web Proxy é fornecida por um pool de endereços IP reservados para o Secure Web Proxy. Ele é usado para alocar endereços IP exclusivos saída de cada proxy para interação com o Cloud NAT e os destinos a rede VPC.

gcloud

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Substitua:

PROXY_SUBNET_NAME: o nome que você quer para a sub-rede de proxy.
REGION: a região em que a sub-rede de proxy será implantada.
NETWORK_NAME: o nome da sua rede
IP_RANGE: o intervalo de sub-rede, como 192.168.0.0/23.

Implantar um certificado SSL

Para implantar certificados usando o Gerenciador de certificados, use um dos seguintes métodos:

Implante um certificado regional gerenciado pelo Google com autorização de DNS por projeto. Para mais informações, consulte Implantar um certificado regional gerenciado pelo Google.
Implante um certificado regional gerenciado pelo Google com o Certificate Authority Service. Para mais informações, consulte Implantar um certificado regional gerenciado pelo Google com o serviço de AC.
Implantar um certificado autogerenciado regional.
O exemplo a seguir mostra como implantar um certificado autogerenciado regional usando o Gerenciador de certificados.

Para criar um certificado SSL:
```
openssl req -x509 -newkey rsa:2048 \
  -keyout KEY_PATH \
  -out CERTIFICATE_PATH -days 365 \
  -subj '/CN=SWP_HOST_NAME' -nodes -addext \
  "subjectAltName=DNS:SWP_HOST_NAME"
```
Substitua:
- KEY_PATH: o caminho para salvar a chave, como ~/key.pem
- CERTIFICATE_PATH: o caminho para salvar o certificado, como ~/cert.pem.
- SWP_HOST_NAME: o nome do host do Instância do Secure Web Proxy, como myswp.example.com
Para fazer o upload do certificado SSL no Gerenciador de certificados:
```
gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file=CERTIFICATE_PATH \
   --private-key-file=KEY_PATH \
   --location=REGION
```
Substitua:
- CERTIFICATE_NAME: o nome do certificado.
- CERTIFICATE_PATH: o caminho para o arquivo de certificado.
- KEY_PATH: o caminho para o arquivo de chave
Para mais informações sobre certificados SSL, consulte Visão geral dos certificados SSL.