初始设置步骤

本文档介绍了使用安全 Web 代理所需的初始设置步骤。

在使用安全 Web 代理之前，请先完成以下设置：

获取必要的 Identity and Access Management 角色。
创建或选择 Google Cloud 项目。
启用结算功能和相关的 Google Cloud API。
创建代理子网。
将 SSL 证书上传到证书管理器。

仅在首次使用安全 Web 代理时才需要此设置。

获取 IAM 角色

如需获取权限，请按以下步骤操作：

如需获取预配安全 Web 代理实例所需的权限，请让管理员授予您项目的以下 IAM 角色：
- 如需配置政策并预配安全 Web 代理实例，请执行以下操作： Compute Network Admin 角色 (roles/compute.networkAdmin)
- 如需上传明确的安全 Web 代理 TLS 证书，请执行以下操作： Certificate Manager Editor 角色 (roles/certificatemanager.editor)
如需详细了解如何授予角色，请参阅管理访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。
可选：如果您有一组用户负责持续进行政策管理，请为他们授予 Security Policy Admin 角色 (roles/compute.orgSecurityPolicyAdmin)，让他们可以管理安全政策。

创建 Google Cloud 项目

如需创建或选择 Google Cloud 项目，请按以下步骤操作：

控制台

在 Google Cloud 控制台的项目选择器页面上，选择或创建 Google Cloud 项目。

转到“项目选择器”

Cloud Shell

创建 Google Cloud 项目：
```
  gcloud projects create PROJECT_ID
```
将 PROJECT_ID 替换为所需的项目 ID。
选择您创建的 Google Cloud 项目：
```
  gcloud config set project PROJECT_ID
```

启用结算功能和 API

如需启用结算功能和相关的 Google Cloud API，请按以下步骤操作：

确保您的 Google Cloud 项目已启用结算功能。了解如何验证项目的结算状态。
启用 Compute Engine API。

启用该 API

创建代理子网

为要在其中部署安全 Web 代理的每个区域创建一个代理子网。创建大小至少为 /26 的子网，或创建 64 个代理专用地址。我们建议子网大小为 /23 或 512 个代理专用地址，因为安全 Web 代理连接是由为安全 Web 代理预留的 IP 地址池提供的。此池用于在每个代理的出站侧分配唯一的 IP 地址，以与 Cloud NAT 和 VPC 网络中的目的地进行交互。

gcloud

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

替换以下内容：

PROXY_SUBNET_NAME：代理子网的名称
REGION：要在其中部署代理子网的区域
NETWORK_NAME：您的网络名称
IP_RANGE：子网范围，例如 192.168.0.0/23

部署 SSL 证书

如需使用 Certificate Manager 部署证书，请使用以下任一方法：

部署具有每个项目 DNS 授权的 Google 管理的区域证书。如需了解详情，请参阅部署 Google 管理的区域级证书。
使用 Certificate Authority Service 部署区域 Google 管理的证书。如需了解详情，请参阅使用 CA Service 部署区域级 Google 管理的证书。
部署区域级自行管理的证书。
以下示例展示了如何使用 Certificate Manager 部署区域级自行管理的证书。

如需创建 SSL 证书，请执行以下操作：
```
openssl req -x509 -newkey rsa:2048 \
  -keyout KEY_PATH \
  -out CERTIFICATE_PATH -days 365 \
  -subj '/CN=SWP_HOST_NAME' -nodes -addext \
  "subjectAltName=DNS:SWP_HOST_NAME"
```
替换以下内容：
- KEY_PATH：保存密钥的路径，例如 ~/key.pem
- CERTIFICATE_PATH：证书的保存路径，例如 ~/cert.pem
- SWP_HOST_NAME：安全 Web 代理实例的主机名，例如 myswp.example.com
如需将 SSL 证书上传到证书管理器，请执行以下操作：
```
gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file=CERTIFICATE_PATH \
   --private-key-file=KEY_PATH \
   --location=REGION
```
替换以下内容：
- CERTIFICATE_NAME：证书的名称
- CERTIFICATE_PATH：证书文件的路径
- KEY_PATH：密钥文件的路径
如需详细了解 SSL 证书，请参阅 SSL 证书概览。