このドキュメントでは、Secure Web Proxy の使用に必要な初期設定手順について説明します。
Secure Web Proxy を使用する前に、次の手順を行います。
- 必要な Identity and Access Management ロールを取得します。
- Google Cloud プロジェクトを作成または選択します。
- 課金と関連する Google Cloud API を有効にします。
- プロキシ サブネットを作成します。
- SSL 証明書を Certificate Manager にアップロードします。
この設定は、Secure Web Proxy を初めて使用する場合にのみ必要です。
IAM ロールを取得する
権限の取得手順は次のとおりです。
-
Secure Web Proxy インスタンスをプロビジョニングするために必要な権限を取得するには、プロジェクトに対する次の IAM ロールの付与を管理者に依頼してください。
-
ポリシーを構成して Secure Web Proxy インスタンスをプロビジョニングするには:
ネットワーク管理者のロールを計算する(
roles/compute.networkAdmin
) -
Secure Web Proxy の TLS 証明書を明示的にアップロードするには: Certificate Manager 編集者のロール (
roles/certificatemanager.editor
)
ロールの付与の詳細については、アクセスの管理をご覧ください。
-
ポリシーを構成して Secure Web Proxy インスタンスをプロビジョニングするには:
ネットワーク管理者のロールを計算する(
省略可: 継続的なポリシー管理を担当する一連のユーザーがいる場合は、セキュリティ ポリシー管理者のロール(
roles/compute.orgSecurityPolicyAdmin
)を付与して、ユーザーがセキュリティ ポリシーを管理できるようにします。
Google Cloud プロジェクトを作成する
Google Cloud プロジェクトを作成または選択する手順は次のとおりです。
コンソール
Google Cloud コンソールの [プロジェクト セレクタ] ページで、Google Cloud プロジェクトを選択または作成します。
Cloud Shell
Google Cloud プロジェクトを作成する
gcloud projects create PROJECT_ID
PROJECT_ID は、目的のプロジェクト ID に置き換えます。
作成した Google Cloud プロジェクトを選択します。
gcloud config set project PROJECT_ID
課金と API を有効にする
課金と関連する Google Cloud API を有効にする手順は次のとおりです。
Google Cloud プロジェクトの課金が有効になっていることを確認します。詳しくは、プロジェクトの課金ステータスを確認するをご覧ください。
Compute Engine API を有効にします。
プロキシ サブネットを作成する
Secure Web Proxy をデプロイするリージョンごとにプロキシ サブネットを作成します。サブネット サイズを /26 以上、またはプロキシ専用アドレスを 64 個作成します。Secure Web Proxy 接続は、Secure Web Proxy 用に予約された IP アドレスのプールによって提供されるため、サブネット サイズは /23 または 512 プロキシ専用アドレスにすることをおすすめします。プールを使用して、各プロキシの外向きトラフィックに一意の IP アドレスを割り振り、Cloud NAT や VPC ネットワーク内の宛先とやり取りします。
gcloud
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
以下を置き換えます。
PROXY_SUBNET_NAME
: プロキシ サブネットに付ける名前。REGION
: プロキシ サブネットをデプロイするリージョンNETWORK_NAME
: ネットワーク名IP_RANGE
: サブネット範囲(192.168.0.0/23
など)
SSL 証明書のデプロイ
Certificate Manager を使用して証明書をデプロイするには、次のいずれかの方法を使用します。
プロジェクトごとの DNS 認証を使用して、リージョン Google マネージド証明書をデプロイする。詳細については、リージョン Google マネージド証明書をデプロイするをご覧ください。
Certificate Authority Service を使用してリージョン Google マネージド証明書をデプロイする。詳細については、CA Service を使用してリージョン Google マネージド証明書をデプロイするをご覧ください。
リージョン セルフマネージド証明書をデプロイする。
次の例は、Certificate Manager を使用してリージョン セルフマネージド証明書をデプロイする方法を示しています。
SSL 証明書を作成するには:
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"
以下を置き換えます。
KEY_PATH
: 鍵を保存するパス(~/key.pem
など)CERTIFICATE_PATH
: 証明書を保存するパス(~/cert.pem
など)SWP_HOST_NAME
: Secure Web Proxy インスタンスのホスト名(myswp.example.com
など)
SSL 証明書を Certificate Manager にアップロードします。
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file=CERTIFICATE_PATH \ --private-key-file=KEY_PATH \ --location=REGION
以下を置き換えます。
CERTIFICATE_NAME
: 証明書の名前。CERTIFICATE_PATH
: 証明書ファイルのパスKEY_PATH
: 鍵ファイルのパス
SSL 証明書の詳細については、SSL 証明書の概要をご覧ください。
次のステップ
- Secure Web Proxy インスタンスをデプロイしてテストする
- タグを使用してポリシーを作成する
- URL リストを使用してポリシーを作成する
- 下り(外向き)トラフィックに静的 IP アドレスを割り当てる