Statische IP-Adressen für ausgehenden Traffic zuweisen

Standardmäßig verwendet Secure Web Proxy ein verwaltetes Cloud NAT-Gateway (swg-autogen-nat) für ausgehenden Webtraffic, für das in der Regel automatisch zugewiesene IP-Adressen verwendet werden. Auf dieser Seite wird beschrieben, wie Sie das Cloud NAT-Gateway so konfigurieren, dass es eine bestimmte Gruppe statischer externer IPv4-Adressen verwendet, die Sie in Ihrem Google Cloud Projekt besitzen und verwalten. Der gesamte ausgehende Traffic von Ihren Arbeitslasten, der über den Secure Web Proxy geleitet wird, stammt dann von einer dieser vordefinierten statischen IP-Adressen.

Hier sind einige wichtige Vorteile der Zuweisung statischer IP-Adressen für Ihren ausgehenden Traffic:

  • Vorhersehbare Quell-IPs für ausgehenden Traffic: Ermöglicht es externen Diensten, Partnern und lokalen Firewalls, Ihre spezifischen IP-Adressen ihren Autorisierungslisten hinzuzufügen, damit Traffic von Ihrer Secure Web Proxy-Instanz akzeptiert wird. Dies ist wichtig, um auf Ressourcen zuzugreifen, die durch IP-basierte Access Control Lists (ACLs) geschützt sind.

  • Dynamische Portzuweisung (Dynamic Port Allocation, DPA): Weist verfügbare Quellports aus der Gruppe der statischen IP-Adressen, die Sie für ausgehenden Traffic zuweisen, effizient zu. Mit DPA können Ihre Arbeitslasten den ausgehenden Traffic mit einer begrenzten Anzahl statischer IPs verwalten, ohne alle verfügbaren Ports zu belegen. Weitere Informationen finden Sie unter Dynamische Portzuweisung.

  • Verbesserte Sicherheitslage: Es gibt eine kleinere, bekannte Gruppe von IP-Adressen, die verwaltet und überwacht werden müssen. Das vereinfacht Sicherheitsprüfungen und die Analyse von Bedrohungen.

  • Verbesserte Integration von Drittanbietern: Ermöglicht eine nahtlose Integration mit SaaS-Anbietern und APIs, für die IP-Zulassungslisten zur Verbesserung der Sicherheit erforderlich oder empfohlen werden.

  • Vereinfachte Compliance: Sie können die Complianceanforderungen für alle Punkte für ausgehenden Traffic und die zugehörigen IP-Adressen erfüllen.

Hinweis

  • Führen Sie die Schritte zur Ersteinrichtung aus.

  • Reservieren Sie eine Liste statischer IPv4-Adressen, die für Ihre Secure Web Proxy-Instanz verwendet werden sollen. Bevor Sie IP-Adressen in Google Cloudreservieren, müssen Sie eine Adressressource mit dem gcloud compute addresses create-Befehl erstellen.

  • Prüfen Sie, ob die Google Cloud CLI-Version 406.0.0 oder höher installiert ist:

    gcloud version | head -n1

    Wenn Sie eine ältere gcloud CLI-Version installiert haben, aktualisieren Sie die Version:

    gcloud components update --version=406.0.0

Statische IP-Adressen für Secure Web Proxy konfigurieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite Cloud NAT auf.

    Zu Cloud NAT

  2. Suchen Sie das Cloud NAT-Gateway, das von Ihrer Secure Web Proxy-Instanz verwendet wird. Der Name wäre swg-autogen-nat und er wäre einem Cloud NAT (mit einem Namen im Format swg-autogen-router-YYYY) in der entsprechenden Region und dem entsprechenden Virtual Private Cloud-Netzwerk zugeordnet.

  3. Klicken Sie auf den swg-autogen-nat-Gateway-Namen, um die Detailseite des Cloud NAT-Gateways aufzurufen. Die Seite Details zum Cloud NAT-Gateway wird geöffnet.

  4. Klicken Sie auf Bearbeiten. Die Seite Cloud NAT-Gateway bearbeiten wird geöffnet.

  5. Ändern Sie für Cloud NAT-IP-Adressen die Einstellung von Automatisch (empfohlen) zu Manuell.

  6. Wählen Sie unter IP-Adressen die statischen IP-Adressen aus, die Sie reserviert haben. Weitere Informationen finden Sie unter Cloud NAT-IPs für Secure Web Proxy konfigurieren.

    Wenn Sie mehrere IP-Adressen hinzufügen möchten, klicken Sie auf die Schaltfläche IP-Adresse hinzufügen.

  7. Maximieren Sie den Bereich Erweiterte Konfigurationen und wählen Sie das Kästchen Dynamische Portzuweisung aktivieren aus.

  8. Für Mindestanzahl an Ports pro VM empfehlen wir, 2048 einzugeben.

  9. Für Maximale Anzahl von Ports pro VM empfehlen wir, 4096 einzugeben.

  10. Klicken Sie auf Speichern.

  11. Prüfen Sie nach dem Speichern der Änderungen Folgendes:

    1. Prüfen Sie auf der Cloud NAT-Gateway-Detailseite, ob im Abschnitt IP-Adressen jetzt die manuell ausgewählten statischen IP-Adressen aufgeführt sind.

    2. Prüfen Sie, ob Dynamische Portzuweisung für die richtige Mindest- und Höchstzahl von Ports pro virtueller Maschine (VM) aktiviert ist, die Sie zuvor konfiguriert haben.

Cloud Shell

  1. Verwenden Sie den Befehl gcloud compute routers list, um den Cloud Router-Namen zu ermitteln, der bei der Bereitstellung Ihrer Secure Web Proxy-Instanz zugewiesen wurde.

    gcloud compute routers list \
    --region REGION \
    --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
    --format="get(name)"

    Ersetzen Sie Folgendes:

    • REGION: die Region, in der der Cloud Router für Ihre Secure Web Proxy-Instanz bereitgestellt wird
    • NETWORK_NAME: Name des VPC-Netzwerks

    Die Ausgabe sieht etwa so aus:

    swg-autogen-router-1

  2. Verwenden Sie den Befehl gcloud compute routers get-status, um die externen automatisch bereitgestellten IP-Adressen aufzulisten, die beim Bereitstellen Ihrer Secure Web Proxy-Instanz zugewiesen wurden.

    gcloud compute routers get-status ROUTER_NAME  \
    --region=REGION

    Die Ausgabe sieht etwa so aus:

    kind: compute#routerStatusResponse
result:
  natStatus:
  - autoAllocatedNatIps:
    - 34.144.80.46
    - 34.144.83.75
    - 34.144.88.111
    - 34.144.94.113
    minExtraNatIpsNeeded: 0
    name: swg-autogen-nat
    numVmEndpointsWithNatMappings: 3
  network: https://www.googleapis.com/compute/projects/PROJECT_NAME/global/networks/NETWORK_NAME

    Diese Ausgabe enthält die folgenden Werte:

    • PROJECT_NAME: Name Ihres Google Cloud-Projekts
    • NETWORK_NAME: Name des VPC-Netzwerks
    hoch- oder herunterskalieren.

  3. Verwenden Sie den Befehl gcloud compute routers nats update, um das Cloud NAT-Gateway so zu aktualisieren, dass Ihr vordefinierter IP-Bereich verwendet wird.

    gcloud compute routers nats update swg-autogen-nat  \
    --router=ROUTER_NAME \
    --nat-external-ip-pool=IPv4_ADDRESSES... \
    --region=REGION

    Ersetzen Sie IPv4_ADDRESSES durch den Namen der externen IPv4-Adressressource, die Sie verwenden möchten, getrennt durch ein Komma (,).

  4. Verwenden Sie den Befehl gcloud compute routers nats describe, um zu prüfen, ob Ihr IP-Bereich dem Cloud NAT-Gateway zugewiesen ist.

    gcloud compute routers nats describe swg-autogen-nat \
    --router=ROUTER_NAME  \
    --region=REGION

    Die Ausgabe sieht etwa so aus:

    enableEndpointIndependentMapping: false
icmpIdleTimeoutSec: 30
logConfig:
  enable: false
  filter: ALL
name: swg-autogen-nat
natIpAllocateOption: MANUAL_ONLY
natIps:
- https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES

    Diese Ausgabe enthält die folgenden Werte:

    • PROJECT_NAME: Name Ihres Google Cloud-Projekts
    • REGION: Region, in der das Cloud NAT-Gateway bereitgestellt wird
    • ADDRESS: Name der statischen IPv4-Adressressource

  5. Verwenden Sie den Befehl gcloud compute routers nats update, um das Cloud NAT-Gateway für die Verwendung des Modus für die dynamische Portzuweisung (Dynamic Port Allocation, DPA) zu aktualisieren. Im DPA-Modus kann Ihre Secure Web Proxy-Instanz die zugewiesenen IP-Adressen verwenden.

    gcloud compute routers nats update swg-autogen-nat  \
    --router=ROUTER_NAME \
    --min-ports-per-vm=2048 \
    --max-ports-per-vm=4096 \
    --enable-dynamic-port-allocation \
    --region=REGION

    Wir empfehlen, die Werte der Flags --min-ports-per-vm und --max-ports-per-vm auf 2048 bzw. 4096 zu setzen.

    Verwenden Sie den Metrics Explorer, um Messwertdaten für Folgendes zu beobachten und die Mindest- und Höchstwerte für die Geräteplatzierungsgruppe nach Bedarf anzupassen:

    • Cloud NAT Gateway - Port usage
    • Cloud NAT Gateway - New connection count
    • Cloud NAT Gateway - Open connections

  6. Wenn Sie prüfen möchten, ob DPA aktiviert ist und die minimalen und maximalen Portwerte festgelegt sind, verwenden Sie den Befehl gcloud compute routers nats describe.

    gcloud compute routers nats describe swg-autogen-nat \
    --router=ROUTER_NAME \
    --region=REGION

    Prüfen Sie die Ausgabe auf natIpAllocateOption: MANUAL_ONLY, um zu bestätigen, dass die Liste natIps Ihre statischen IP-Adressen enthält.

    Die Ausgabe sieht etwa so aus:

    enableDynamicPortAllocation: true
enableEndpointIndependentMapping: false
endpointTypes:
- ENDPOINT_TYPE_SWG
logConfig:
  enable: true
  filter: ERRORS_ONLY
maxPortsPerVm: 4096
minPortsPerVm: 2048
name: swg-autogen-nat
natIpAllocateOption: MANUAL_ONLY
natIps:
- https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES
type: PUBLIC

    Diese Ausgabe enthält die folgenden Werte:

    • PROJECT_NAME: Name Ihres Google Cloud-Projekts
    • REGION: Region, in der das Cloud NAT-Gateway bereitgestellt wird
    • ADDRESS: Name der statischen IPv4-Adressressource

Nächste Schritte