Questo documento descrive i passaggi di configurazione iniziali necessari per utilizzare Secure Web Proxy.
Prima di poter utilizzare Secure Web Proxy, completa la seguente configurazione:
- Ottieni i ruoli necessari per Identity and Access Management.
- Crea o seleziona un progetto Google Cloud.
- Abilita la fatturazione e le API Google Cloud pertinenti.
- Creare subnet proxy.
- Carica un certificato SSL in Gestore certificati.
Questa configurazione è necessaria solo la prima volta che utilizzi Secure Web Proxy.
Ottenere i ruoli IAM
Per ottenere le autorizzazioni, segui questi passaggi:
-
Per ottenere le autorizzazioni necessarie per il provisioning di un'istanza di Secure Web Proxy, chiedi all'amministratore di concederti i seguenti ruoli IAM sul tuo progetto:
-
Per configurare i criteri ed eseguire il provisioning di un'istanza Secure Web Proxy:
Ruolo Amministratore rete Compute (
roles/compute.networkAdmin
) -
Per caricare certificati TLS espliciti di Secure Web Proxy:
Ruolo Editor Certificate Manager (
roles/certificatemanager.editor
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
-
Per configurare i criteri ed eseguire il provisioning di un'istanza Secure Web Proxy:
Ruolo Amministratore rete Compute (
(Facoltativo) Se hai un insieme di utenti responsabili della gestione continua dei criteri, concedi loro il ruolo Amministratore criteri di sicurezza (
roles/compute.orgSecurityPolicyAdmin
) per consentire loro di gestire i criteri di sicurezza.
Creare un progetto Google Cloud
Per creare o selezionare un progetto Google Cloud, segui questi passaggi:
Console
Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.
Cloud Shell
Crea un progetto Google Cloud:
gcloud projects create PROJECT_ID
Sostituisci PROJECT_ID con l'ID progetto che preferisci.
Seleziona il progetto Google Cloud che hai creato:
gcloud config set project PROJECT_ID
Abilita fatturazione e API
Per abilitare la fatturazione e le API Google Cloud pertinenti, segui questi passaggi:
Verifica che la fatturazione sia attivata per il tuo progetto Google Cloud. Scopri come verificare lo stato di fatturazione dei tuoi progetti.
Abilitare l'API Compute Engine.
Crea una subnet proxy
Crea una subnet proxy per ogni regione in cui esegui il deployment di Secure Web Proxy. Crea una subnet di almeno /26 o 64 indirizzi solo proxy. Consigliamo una subnet di dimensioni /23 o 512 indirizzi solo proxy, poiché la connettività Secure Web Proxy è fornita da un pool di indirizzi IP riservati per Secure Web Proxy. Questo pool viene utilizzato per allocare indirizzi IP univoci sul lato in uscita di ciascun proxy per l'interazione con Cloud NAT e le destinazioni nella rete VPC.
gcloud
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Sostituisci quanto segue:
PROXY_SUBNET_NAME
: il nome che vuoi per la subnet proxyREGION
: la regione in cui eseguire il deployment della subnet proxyNETWORK_NAME
: nome della reteIP_RANGE
: l'intervallo di subnet, ad esempio192.168.0.0/23
Esegui il deployment di un certificato SSL
Per eseguire il deployment dei certificati con Gestore certificati, utilizza uno dei seguenti metodi:
Esegui il deployment di un certificato gestito da Google a livello di regione con autorizzazione DNS per progetto. Per ulteriori informazioni, consulta Eseguire il deployment di un certificato gestito da Google a livello di regione.
Esegui il deployment di un certificato gestito da Google a livello di regione con Certificate Authority Service. Per ulteriori informazioni, consulta Eseguire il deployment di un certificato gestito da Google a livello di regione con CA Service.
Esegui il deployment di un certificato autogestito a livello di regione.
L'esempio seguente mostra come eseguire il deployment di un certificato autogestito a livello di regione utilizzando Gestore certificati.
Per creare un certificato SSL:
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"
Sostituisci quanto segue:
KEY_PATH
: il percorso per salvare la chiave, ad esempio~/key.pem
CERTIFICATE_PATH
: il percorso per salvare il certificato, ad esempio~/cert.pem
SWP_HOST_NAME
: il nome host per la tua istanza di Secure Web Proxy, ad esempiomyswp.example.com
Per caricare il certificato SSL in Gestore certificati:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file=CERTIFICATE_PATH \ --private-key-file=KEY_PATH \ --location=REGION
Sostituisci quanto segue:
CERTIFICATE_NAME
: il nome del certificatoCERTIFICATE_PATH
: il percorso del file del certificatoKEY_PATH
: percorso del file della chiave
Per ulteriori informazioni sui certificati SSL, consulta la panoramica dei certificati SSL.
Passaggi successivi
- Esegui il deployment e il test di un'istanza di Secure Web Proxy
- Utilizzare i tag per creare criteri
- Utilizzare un elenco di URL per creare i criteri
- Assegna indirizzi IP statici per il traffico in uscita