本文档介绍了使用安全 Web 代理所需的初始设置步骤。
在使用安全 Web 代理之前,请先完成以下设置:
- 获取必要的 Identity and Access Management 角色。
- 创建或选择 Google Cloud 项目。
- 启用结算功能和相关的 Google Cloud API。
- 创建代理子网。
- 将 SSL 证书上传到证书管理器。
仅在首次使用安全 Web 代理时才需要此设置。
获取 IAM 角色
如需获取权限,请按以下步骤操作:
-
如需获取预配安全 Web 代理实例所需的权限,请让管理员授予您项目的以下 IAM 角色:
-
如需配置政策并预配安全 Web 代理实例,请执行以下操作:
Compute Network Admin 角色 (
roles/compute.networkAdmin
) -
如需上传明确的安全 Web 代理 TLS 证书,请执行以下操作:
Certificate Manager Editor 角色 (
roles/certificatemanager.editor
)
如需详细了解如何授予角色,请参阅管理访问权限。
-
如需配置政策并预配安全 Web 代理实例,请执行以下操作:
Compute Network Admin 角色 (
可选:如果您有一组用户负责持续进行政策管理,请为他们授予 Security Policy Admin 角色 (
roles/compute.orgSecurityPolicyAdmin
),让他们可以管理安全政策。
创建 Google Cloud 项目
如需创建或选择 Google Cloud 项目,请按以下步骤操作:
控制台
在 Google Cloud 控制台的项目选择器页面上,选择或创建 Google Cloud 项目。
Cloud Shell
创建 Google Cloud 项目:
gcloud projects create PROJECT_ID
将 PROJECT_ID 替换为所需的项目 ID。
选择您创建的 Google Cloud 项目:
gcloud config set project PROJECT_ID
启用结算功能和 API
如需启用结算功能和相关的 Google Cloud API,请按以下步骤操作:
创建代理子网
为要在其中部署安全 Web 代理的每个区域创建一个代理子网。创建大小至少为 /26 的子网,或创建 64 个代理专用地址。我们建议子网大小为 /23 或 512 个代理专用地址,因为安全 Web 代理连接是由为安全 Web 代理预留的 IP 地址池提供的。此池用于在每个代理的出站侧分配唯一的 IP 地址,以与 Cloud NAT 和 VPC 网络中的目的地进行交互。
gcloud
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
替换以下内容:
PROXY_SUBNET_NAME
:代理子网的名称REGION
:要在其中部署代理子网的区域NETWORK_NAME
:您的网络名称IP_RANGE
:子网范围,例如192.168.0.0/23
部署 SSL 证书
如需使用 Certificate Manager 部署证书,请使用以下任一方法:
部署具有每个项目 DNS 授权的 Google 管理的区域证书。如需了解详情,请参阅部署 Google 管理的区域级证书。
使用 Certificate Authority Service 部署区域 Google 管理的证书。如需了解详情,请参阅使用 CA Service 部署区域级 Google 管理的证书。
部署区域级自行管理的证书。
以下示例展示了如何使用 Certificate Manager 部署区域级自行管理的证书。
如需创建 SSL 证书,请执行以下操作:
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"
替换以下内容:
KEY_PATH
:保存密钥的路径,例如~/key.pem
CERTIFICATE_PATH
:证书的保存路径,例如~/cert.pem
SWP_HOST_NAME
:安全 Web 代理实例的主机名,例如myswp.example.com
如需将 SSL 证书上传到证书管理器,请执行以下操作:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file=CERTIFICATE_PATH \ --private-key-file=KEY_PATH \ --location=REGION
替换以下内容:
CERTIFICATE_NAME
:证书的名称CERTIFICATE_PATH
:证书文件的路径KEY_PATH
:密钥文件的路径
如需详细了解 SSL 证书,请参阅 SSL 证书概览。