Ce document décrit les étapes de configuration initiales requises pour utiliser le proxy Web sécurisé.
Avant de pouvoir utiliser le proxy Web sécurisé, vous devez effectuer la configuration suivante:
- Obtenez les rôles Identity and Access Management nécessaires.
- Créer ou sélectionner un projet Google Cloud
- activer la facturation et les API Google Cloud pertinentes ;
- Créer des sous-réseaux proxy
- Importer un certificat SSL dans le gestionnaire de certificats
Cette configuration n'est requise que la première fois que vous utilisez le proxy Web sécurisé.
Obtenir des rôles IAM
Pour obtenir les autorisations nécessaires, procédez comme suit:
-
Pour obtenir les autorisations dont vous avez besoin pour provisionner une instance de proxy Web sécurisé, demandez à votre administrateur de vous attribuer les rôles IAM suivants sur votre projet:
-
Pour configurer des règles et provisionner une instance de proxy Web sécurisé : Rôle d'administrateur de réseaux Compute (
roles/compute.networkAdmin
) -
Pour importer des certificats TLS explicites pour proxy Web sécurisé :
Rôle d'éditeur du gestionnaire de certificats (
roles/certificatemanager.editor
)
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
-
Pour configurer des règles et provisionner une instance de proxy Web sécurisé : Rôle d'administrateur de réseaux Compute (
Facultatif: Si un ensemble d'utilisateurs est responsable de la gestion continue des règles, attribuez-leur le rôle Administrateur des stratégies de sécurité (
roles/compute.orgSecurityPolicyAdmin
) pour leur permettre de gérer les stratégies de sécurité.
Créer un projet Google Cloud
Pour créer ou sélectionner un projet Google Cloud, procédez comme suit:
Console
Dans la console Google Cloud, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.
Cloud Shell
Créez un projet Google Cloud :
gcloud projects create PROJECT_ID
Remplacez PROJECT_ID par l'ID du projet souhaité.
Sélectionnez le projet Google Cloud que vous avez créé :
gcloud config set project PROJECT_ID
Activer la facturation et les API
Pour activer la facturation et les API Google Cloud pertinentes, procédez comme suit:
Vérifiez que la facturation est activée pour votre projet Google Cloud. Découvrez comment vérifier l'état de facturation de vos projets.
Activez l'API Compute Engine.
Créer un sous-réseau de proxy
Créez un sous-réseau de proxy pour chaque région dans laquelle vous déployez le proxy Web sécurisé. Créez une taille de sous-réseau d'au moins /26 ou 64 adresses proxy réservées. Nous vous recommandons une taille de sous-réseau de /23 ou 512 adresses proxy réservées, car la connectivité du proxy Web sécurisé est fournie par un pool d'adresses IP réservées au proxy Web sécurisé. Ce pool permet d'attribuer des adresses IP uniques du côté sortie de chaque proxy pour permettre l'interaction avec Cloud NAT et les destinations du réseau VPC.
gcloud
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Remplacez les éléments suivants :
PROXY_SUBNET_NAME
: nom souhaité pour votre sous-réseau proxyREGION
: région dans laquelle déployer le sous-réseau proxyNETWORK_NAME
: nom de votre réseau.IP_RANGE
: plage du sous-réseau (par exemple,192.168.0.0/23
)
Déployer un certificat SSL
Pour déployer des certificats à l'aide du gestionnaire de certificats, utilisez l'une des méthodes suivantes:
Déployez un certificat régional géré par Google avec une autorisation DNS par projet. Pour en savoir plus, consultez Déployer un certificat régional géré par Google.
Déployez un certificat régional géré par Google avec Certificate Authority Service. Pour en savoir plus, consultez la page Déployer un certificat régional géré par Google avec le service d'autorité de certification.
Déployez un certificat autogéré régional.
L'exemple suivant montre comment déployer un certificat autogéré régional à l'aide du gestionnaire de certificats.
Pour créer un certificat SSL :
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"
Remplacez les éléments suivants :
KEY_PATH
: chemin d'accès pour enregistrer la clé, par exemple~/key.pem
CERTIFICATE_PATH
: chemin d'accès pour enregistrer le certificat, par exemple~/cert.pem
SWP_HOST_NAME
: nom d'hôte de votre instance de proxy Web sécurisé, par exemplemyswp.example.com
Pour importer le certificat SSL dans le gestionnaire de certificats:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file=CERTIFICATE_PATH \ --private-key-file=KEY_PATH \ --location=REGION
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom de votre certificatCERTIFICATE_PATH
: chemin d'accès au fichier de certificatKEY_PATH
: chemin d'accès au fichier de clé
Pour en savoir plus sur les certificats SSL, consultez la section Présentation des certificats SSL.
Étapes suivantes
- Déployer et tester une instance de proxy Web sécurisé
- Créer des règles à l'aide de tags
- Créer des règles à l'aide d'une liste d'URL
- Attribuer des adresses IP statiques pour le trafic de sortie