初始設定步驟

本文說明使用 Secure Web Proxy 前必須完成的初始設定步驟。

如要使用 Secure Web Proxy,請先完成下列設定:

  • 取得必要的 Identity and Access Management 角色。
  • 建立或選取 Google Cloud 專案。
  • 啟用計費功能和相關 Google Cloud API。
  • 建立 Proxy 子網路。
  • 將 SSL 憑證上傳至 Certificate Manager。

只有在首次使用 Secure Web Proxy 時,才需要進行這項設定。

取得 IAM 角色

如要取得權限,請按照下列步驟操作:

  1. 如要取得佈建 Secure Web Proxy 執行個體所需的權限,請要求管理員為您授予專案的下列 IAM 角色:

    如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

    您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

  2. 選用:如果有一組使用者負責持續管理政策,請授予他們「安全政策管理員」角色 (roles/compute.orgSecurityPolicyAdmin),讓他們管理安全政策。

建立 Google Cloud 專案

如要建立或選取 Google Cloud 專案,請按照下列步驟操作:

主控台

在 Google Cloud 控制台的專案選擇器頁面中,選取或建立 Google Cloud 專案

前往專案選取器

Cloud Shell

  • 建立 Google Cloud 專案:

      gcloud projects create PROJECT_ID
    

    PROJECT_ID 替換為您想要的專案 ID。

  • 選取您建立的 Google Cloud 專案:

      gcloud config set project PROJECT_ID
    

啟用計費功能和 API

如要啟用帳單和相關 Google Cloud API,請按照下列步驟操作:

  1. 請確認您已為 Google Cloud 專案啟用計費功能。瞭解如何驗證專案的帳單狀態

  2. 啟用 Compute Engine API。

    啟用 API

  3. 啟用 Certificate Manager API。

    啟用 API

  4. 啟用 Network Services API。

    啟用 API

  5. 啟用 Network Security API。

    啟用 API

建立 Proxy 子網路

在部署 Secure Web Proxy 的每個區域,建立 Proxy 子網路。建立至少 /26 的子網路大小,或 64 個僅限 Proxy 的位址。建議子網路大小為 /23,或 512 個僅限 Proxy 的位址,因為 Secure Web Proxy 連線是由為 Secure Web Proxy 保留的 IP 位址集區提供。這個集區用於在每個 Proxy 的輸出端分配專屬 IP 位址,以便與 Cloud NAT 和虛擬私有雲網路中的目的地互動。

gcloud

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

更改下列內容:

  • PROXY_SUBNET_NAME:您要為 Proxy 子網路指定的名稱
  • REGION:部署 Proxy 子網路的區域
  • NETWORK_NAME:網路名稱
  • IP_RANGE:子網路範圍,例如 192.168.0.0/23

部署 SSL 憑證

Secure Web Proxy 可選擇是否使用 SSL 憑證。如要使用 Certificate Manager 部署憑證,請採用下列任一方法:

  1. 如要建立 SSL 憑證,請按照下列步驟操作:

    openssl req -x509 -newkey rsa:2048 \
      -keyout KEY_PATH \
      -out CERTIFICATE_PATH -days 365 \
      -subj '/CN=SWP_HOST_NAME' -nodes -addext \
      "subjectAltName=DNS:SWP_HOST_NAME"
    

    更改下列內容:

    • KEY_PATH:儲存金鑰的路徑,例如 ~/key.pem
    • CERTIFICATE_PATH:儲存憑證的路徑,例如 ~/cert.pem
    • :Secure Web Proxy 執行個體的主機名稱,例如 myswp.example.comSWP_HOST_NAME
  2. 如要將 SSL 憑證上傳至 Certificate Manager,請按照下列步驟操作:

    gcloud certificate-manager certificates create CERTIFICATE_NAME \
       --certificate-file=CERTIFICATE_PATH \
       --private-key-file=KEY_PATH \
       --location=REGION
    

    更改下列內容:

    • CERTIFICATE_NAME:憑證名稱
    • CERTIFICATE_PATH:憑證檔案的路徑
    • KEY_PATH:金鑰檔案的路徑

    如要進一步瞭解 SSL 憑證,請參閱安全資料傳輸層 (SSL) 憑證總覽

後續步驟