Etapas iniciais de configuração

Este documento descreve as etapas de configuração inicial necessárias para usar o Secure Web Proxy.

Antes de usar o Secure Web Proxy, conclua a configuração a seguir:

  • Consiga os papéis necessários do Identity and Access Management.
  • Criar ou selecionar um projeto do Google Cloud.
  • Ativar o faturamento e as APIs relevantes do Google Cloud.
  • Criar sub-redes proxy.
  • Fazer upload de um certificado SSL para o Gerenciador de certificados.

Essa configuração só é necessária na primeira vez que você usa o Secure Web Proxy.

Conseguir papéis do IAM

Para receber permissões, siga estas etapas:

  1. Para receber as permissões necessárias para provisionar uma instância do Proxy seguro da Web, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:

    Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

    Talvez você também consiga receber as permissões necessárias por meio de papéis personalizados ou outros papéis predefinidos.

  2. Opcional: se você tiver um conjunto de usuários responsáveis pelo gerenciamento contínuo de políticas, conceda a eles o papel Administrador da política de segurança (roles/compute.orgSecurityPolicyAdmin) para permitir que eles gerenciem políticas de segurança.

Criar um projeto do Google Cloud

Para criar ou selecionar um projeto do Google Cloud, siga estas etapas:

Console

No console do Google Cloud, na página do seletor de projetos, escolha ou crie um projeto do Google Cloud.

Acessar o seletor de projetos

Cloud Shell

  • Crie um projeto do Google Cloud:

      gcloud projects create PROJECT_ID
    

    Substitua PROJECT_ID pelo ID do projeto que você quiser.

  • Selecione o projeto do Google Cloud que você criou:

      gcloud config set project PROJECT_ID
    

Ativar faturamento e APIs

Para ativar o faturamento e as APIs relevantes do Google Cloud, siga estas etapas:

  1. Verifique se a cobrança está ativada para o seu projeto do Google Cloud. Saiba como verificar o status de faturamento dos seus projetos.

  2. Ative a API Compute Engine.

    Ativar a API

Criar uma sub-rede de proxy

Crie uma sub-rede de proxy para cada região em que você implanta o Secure Web Proxy. Crie um tamanho de sub-rede de pelo menos /26 ou 64 endereços somente proxy. Recomendamos um tamanho de sub-rede de /23 ou 512 endereços somente proxy, porque a conectividade do Secure Web Proxy é fornecida por um pool de endereços IP reservados para o Secure Web Proxy. Esse pool é usado para alocar endereços IP exclusivos no lado de saída de cada proxy para interação com o Cloud NAT e os destinos na rede VPC.

gcloud

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Substitua:

  • PROXY_SUBNET_NAME: o nome que você quer para a sub-rede de proxy
  • REGION: a região em que a sub-rede do proxy será implantada
  • NETWORK_NAME: o nome da sua rede
  • IP_RANGE: o intervalo da sub-rede, como 192.168.0.0/23

Criar e fazer upload de um certificado SSL

  1. Para criar um certificado SSL:

    openssl req -x509 -newkey rsa:2048 \
      -keyout KEY_PATH \
      -out CERTIFICATE_PATH -days 365 \
      -subj '/CN=SWP_HOST_NAME' -nodes -addext \
      "subjectAltName=DNS:SWP_HOST_NAME"
    

    Substitua:

    • KEY_PATH: o caminho para salvar a chave, como ~/key.pem.
    • CERTIFICATE_PATH: o caminho para salvar o certificado, como ~/cert.pem.
    • SWP_HOST_NAME: o nome do host da sua instância do Proxy seguro da Web, como myswp.example.com
  2. Para fazer o upload do certificado SSL no Gerenciador de certificados:

    gcloud certificate-manager certificates create CERTIFICATE_NAME \
       --certificate-file=CERTIFICATE_PATH \
       --private-key-file=KEY_PATH \
       --location=REGION
    

    Substitua:

    • CERTIFICATE_NAME: o nome do certificado
    • CERTIFICATE_PATH: o caminho para o arquivo de certificado.
    • KEY_PATH: o caminho para o arquivo de chave.

    Para mais informações sobre os certificados SSL, consulte a Visão geral dos certificados SSL.

A seguir