本文說明使用 Secure Web Proxy 前必須完成的初始設定步驟。
如要使用 Secure Web Proxy,請先完成下列設定:
- 取得必要的 Identity and Access Management 角色。
- 建立或選取 Google Cloud 專案。
- 啟用計費功能和相關 Google Cloud API。
- 建立 Proxy 子網路。
- 將 SSL 憑證上傳至 Certificate Manager。
只有在首次使用 Secure Web Proxy 時,才需要進行這項設定。
取得 IAM 角色
如要取得權限,請按照下列步驟操作:
-
如要取得佈建 Secure Web Proxy 執行個體所需的權限,請要求管理員為您授予專案的下列 IAM 角色:
-
如要設定政策及佈建 Secure Web Proxy 執行個體,請執行下列操作:
Compute 網路管理員角色 (
roles/compute.networkAdmin
) -
如要上傳明確的 Secure Web Proxy TLS 憑證:
憑證管理員編輯者角色 (
roles/certificatemanager.editor
)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
-
如要設定政策及佈建 Secure Web Proxy 執行個體,請執行下列操作:
Compute 網路管理員角色 (
選用:如果有一組使用者負責持續管理政策,請授予他們「安全政策管理員」角色 (
roles/compute.orgSecurityPolicyAdmin
),讓他們管理安全政策。
建立 Google Cloud 專案
如要建立或選取 Google Cloud 專案,請按照下列步驟操作:
主控台
在 Google Cloud 控制台的專案選擇器頁面中,選取或建立 Google Cloud 專案。
Cloud Shell
建立 Google Cloud 專案:
gcloud projects create PROJECT_ID
將 PROJECT_ID 替換為您想要的專案 ID。
選取您建立的 Google Cloud 專案:
gcloud config set project PROJECT_ID
啟用計費功能和 API
如要啟用帳單和相關 Google Cloud API,請按照下列步驟操作:
請確認您已為 Google Cloud 專案啟用計費功能。瞭解如何驗證專案的帳單狀態。
啟用 Compute Engine API。
啟用 Certificate Manager API。
啟用 Network Services API。
啟用 Network Security API。
建立 Proxy 子網路
在部署 Secure Web Proxy 的每個區域,建立 Proxy 子網路。建立至少 /26 的子網路大小,或 64 個僅限 Proxy 的位址。建議子網路大小為 /23,或 512 個僅限 Proxy 的位址,因為 Secure Web Proxy 連線是由為 Secure Web Proxy 保留的 IP 位址集區提供。這個集區用於在每個 Proxy 的輸出端分配專屬 IP 位址,以便與 Cloud NAT 和虛擬私有雲網路中的目的地互動。
gcloud
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
更改下列內容:
PROXY_SUBNET_NAME
:您要為 Proxy 子網路指定的名稱REGION
:部署 Proxy 子網路的區域NETWORK_NAME
:網路名稱IP_RANGE
:子網路範圍,例如192.168.0.0/23
部署 SSL 憑證
Secure Web Proxy 可選擇是否使用 SSL 憑證。如要使用 Certificate Manager 部署憑證,請採用下列任一方法:
部署地區 Google 代管憑證,並使用專案 DNS 授權。詳情請參閱「部署區域 Google 代管憑證」。
使用憑證授權單位服務部署區域性 Google 代管憑證。詳情請參閱「使用 CA 服務部署區域 Google 代管憑證」。
部署區域自行管理的憑證。
以下範例說明如何使用 Certificate Manager 部署區域性自行管理的憑證。
如要建立 SSL 憑證,請按照下列步驟操作:
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"
更改下列內容:
KEY_PATH
:儲存金鑰的路徑,例如~/key.pem
CERTIFICATE_PATH
:儲存憑證的路徑,例如~/cert.pem
- :Secure Web Proxy 執行個體的主機名稱,例如
myswp.example.com
SWP_HOST_NAME
如要將 SSL 憑證上傳至 Certificate Manager,請按照下列步驟操作:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file=CERTIFICATE_PATH \ --private-key-file=KEY_PATH \ --location=REGION
更改下列內容:
CERTIFICATE_NAME
:憑證名稱CERTIFICATE_PATH
:憑證檔案的路徑KEY_PATH
:金鑰檔案的路徑
如要進一步瞭解 SSL 憑證,請參閱安全資料傳輸層 (SSL) 憑證總覽。