Etapas iniciais de configuração

Este documento descreve as etapas iniciais de configuração para usar o Secure Web Proxy.

Antes de usar o Secure Web Proxy, conclua a seguinte configuração:

Conseguir os papéis necessários do Identity and Access Management.
Criar ou selecionar um projeto do Google Cloud.
Ativar o faturamento e as APIs relevantes do Google Cloud.
Criar sub-redes de proxy.
Fazer upload de um certificado SSL no Gerenciador de certificados.

Essa configuração só é necessária na primeira vez que você usar o Secure Web Proxy.

Conseguir papéis do IAM

Para receber permissões, siga estas etapas:

Para ter as permissões necessárias para provisionar uma instância do Secure Web Proxy, peça ao administrador para conceder a você os seguintes papéis do IAM no seu projeto:
- Para configurar políticas e provisionar uma instância do Secure Web Proxy: Papel de administrador de rede do Compute (roles/compute.networkAdmin)
- Para fazer upload de certificados TLS explícitos do Secure Web Proxy: papel de editor do Gerenciador de certificados (roles/certificatemanager.editor)
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Opcional: se você tiver um conjunto de usuários responsáveis pelo gerenciamento contínuo de políticas, conceda a eles o papel Administrador da política de segurança (roles/compute.orgSecurityPolicyAdmin) para permitir que eles gerenciem políticas de segurança.

Criar um projeto do Google Cloud

Para criar ou selecionar um projeto do Google Cloud, siga estas etapas:

Console

No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

Acessar o seletor de projetos

Cloud Shell

Crie um projeto do Google Cloud:
```
  gcloud projects create PROJECT_ID
```
Substitua PROJECT_ID pelo ID do projeto que você quer usar.
Selecione o projeto do Google Cloud que você criou:
```
  gcloud config set project PROJECT_ID
```

Ativar faturamento e APIs

Para ativar o faturamento e as APIs relevantes do Google Cloud, siga estas etapas:

Verifique se a cobrança está ativada para o seu projeto do Google Cloud. Saiba como verificar o status de faturamento dos seus projetos.
Ative a API Compute Engine.

Ativar a API

Criar uma sub-rede de proxy

Crie uma sub-rede de proxy para cada região em que o Secure Web Proxy será implantado. Crie um tamanho de sub-rede de pelo menos /26 ou 64 endereços somente proxy. Recomendamos um tamanho de sub-rede de /23 ou 512 endereços somente proxy, porque a conectividade do Secure Web Proxy é fornecida por um pool de endereços IP reservados para o Secure Web Proxy. Esse pool é usado para alocar endereços IP exclusivos no lado de saída de cada proxy para interação com o Cloud NAT e com destinos na rede VPC.

gcloud

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Substitua:

PROXY_SUBNET_NAME: o nome que você quer para sua sub-rede de proxy.
REGION: a região em que a sub-rede de proxy será implantada.
NETWORK_NAME: o nome da sua rede
IP_RANGE: o intervalo da sub-rede, como 192.168.0.0/23.

Implantar um certificado SSL

Para implantar certificados usando o Gerenciador de certificados, use um dos métodos a seguir:

Implantar um certificado regional gerenciado pelo Google com autorização de DNS por projeto. Para mais informações, consulte Implantar um certificado regional gerenciado pelo Google.
Implante um certificado regional gerenciado pelo Google com o Certificate Authority Service. Para mais informações, consulte Implantar um certificado regional gerenciado pelo Google com o serviço de AC.
Implante um certificado autogerenciado regional.
O exemplo a seguir mostra como implantar um certificado autogerenciado regional usando o Gerenciador de certificados.

Para criar um certificado SSL:
```
openssl req -x509 -newkey rsa:2048 \
  -keyout KEY_PATH \
  -out CERTIFICATE_PATH -days 365 \
  -subj '/CN=SWP_HOST_NAME' -nodes -addext \
  "subjectAltName=DNS:SWP_HOST_NAME"
```
Substitua:
- KEY_PATH: o caminho para salvar a chave, como ~/key.pem.
- CERTIFICATE_PATH: o caminho para salvar o certificado, como ~/cert.pem.
- SWP_HOST_NAME: o nome do host da sua instância do proxy seguro da Web, como myswp.example.com;
Para fazer o upload do certificado SSL no Gerenciador de certificados:
```
gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file=CERTIFICATE_PATH \
   --private-key-file=KEY_PATH \
   --location=REGION
```
Substitua:
- CERTIFICATE_NAME: o nome do certificado
- CERTIFICATE_PATH: o caminho para o arquivo de certificado
- KEY_PATH: o caminho para o arquivo de chave.
Para mais informações sobre certificados SSL, consulte Visão geral dos certificados SSL.