Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Asigna direcciones IP estáticas para el tráfico saliente

De forma predeterminada, Secure Web Proxy usa una puerta de enlace de Cloud NAT administrada (swg-autogen-nat) para el tráfico web saliente, que suele usar direcciones IP asignadas automáticamente. En esta página, se describe cómo configurar la puerta de enlace de Cloud NAT para usar un conjunto específico de direcciones IPv4 externas estáticas que posees y administras en tu Google Cloud proyecto. Todo el tráfico saliente de tus cargas de trabajo que se enruta a través del Secure Web Proxy se origina en una de estas IPs estáticas predefinidas.

Estos son algunos de los beneficios clave de asignar direcciones IP estáticas para tu tráfico saliente:

IPs de origen de tráfico saliente predecibles: Permite que los servicios externos, socios y firewalls locales agreguen tus direcciones IP específicas a sus listas autorizadas, lo que garantiza que se acepte el tráfico de tu instancia de Secure Web Proxy. Esto es esencial para acceder a los recursos protegidos por listas de control de acceso (ACL) basadas en IP.
Asignación dinámica de puertos (DPA): Asigna de manera eficiente los puertos de origen disponibles del conjunto de direcciones IP estáticas que asignas para el tráfico saliente. La DPA permite que tus cargas de trabajo administren el tráfico saliente con una cantidad limitada de IPs estáticas, sin usar todos los puertos disponibles. Para obtener más información, consulta Asignación dinámica de puertos.
Postura de seguridad mejorada: Proporciona un conjunto más pequeño y conocido de direcciones IP para administrar y supervisar, lo que simplifica las auditorías de seguridad y el análisis de amenazas.
Integración mejorada de terceros: Facilita la integración perfecta con proveedores de SaaS y APIs que requieren o recomiendan listas de entidades permitidas de IP para mejorar la seguridad.
Cumplimiento simplificado: Te ayuda a cumplir con los requisitos de cumplimiento para todos los puntos de tráfico saliente y sus direcciones IP asociadas.

Antes de comenzar

Completa los pasos iniciales de configuración.
Reserva una lista de direcciones IPv4 estáticas para usar en tu instancia de Secure Web Proxy. Antes de reservar direcciones IP en Google Cloud, asegúrate de crear un recurso de dirección con el gcloud compute addresses create comando.
Verifica que tengas instalada la versión 406.0.0 o posterior de Google Cloud CLI:
```
gcloud version | head -n1
```
Si tienes instalada una versión anterior de gcloud CLI, actualiza la versión:
```
gcloud components update --version=406.0.0
```

Configura direcciones IP estáticas para Secure Web Proxy

Console

En la Google Cloud consola de, ve a la página Cloud NAT.

Ir a Cloud NAT
Ubica la puerta de enlace de Cloud NAT que usa tu instancia de Secure Web Proxy. Su nombre sería swg-autogen-nat y estaría asociado con un Cloud NAT (con un nombre en el formato swg-autogen-router-YYYY) en la región y la red de nube privada virtual adecuadas.
Para ir a la página de detalles de la puerta de enlace de Cloud NAT, haz clic en el nombre de la puerta de enlace swg-autogen-nat. Se abrirá la página Detalles de la puerta de enlace de Cloud NAT.
Haz clic en Editar. Se abrirá la página Editar la puerta de enlace de Cloud NAT.
En Direcciones IP de Cloud NAT, cambia el parámetro de configuración de Automáticas (recomendado) a Manuales.
En Direcciones IP, selecciona las direcciones IP estáticas que tú reservaste. Para obtener más información, consulta Configura IPs de Cloud NAT para Secure Web Proxy.

Para agregar varias direcciones IP, haz clic en el Agregar dirección IP botón.
Expande la sección Configuraciones avanzadas y, luego, selecciona la casilla de verificación Habilitar la asignación dinámica de puertos.
En Puertos mínimos por VM, te recomendamos que ingreses 2048.
En Puertos máximos por VM, te recomendamos que ingreses 4096.
Haz clic en Guardar.
Después de guardar los cambios, verifica lo siguiente:
1. En la página de detalles de la puerta de enlace de Cloud NAT, verifica que la sección Direcciones IP ahora muestre las direcciones IP estáticas que seleccionaste de forma manual.
2. Verifica que la Asignación dinámica de puertos esté habilitada para los puertos mínimos y máximos correctos por máquina virtual (VM) que configuraste antes.

Cloud Shell

Para identificar el nombre de Cloud Router que se asignó durante el aprovisionamiento de tu instancia de Secure Web Proxy, usa el gcloud compute routers list comando.
```
gcloud compute routers list \
    --region REGION \
    --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
    --format="get(name)"
```
Reemplaza lo siguiente:
- REGION: Es la región en la que se implementa Cloud Router para tu instancia de Secure Web Proxy.
- NETWORK_NAME: Es el nombre de tu red de VPC.
El resultado es similar a este:
```
swg-autogen-router-1
```
Para enumerar las direcciones IP externas aprovisionadas automáticamente que se asignaron durante el aprovisionamiento de tu instancia de Secure Web Proxy, usa el gcloud compute routers get-status comando.
```
gcloud compute routers get-status ROUTER_NAME  \
    --region=REGION
```
El resultado es similar a este:
```
kind: compute#routerStatusResponse
result:
  natStatus:
  - autoAllocatedNatIps:
    - 34.144.80.46
    - 34.144.83.75
    - 34.144.88.111
    - 34.144.94.113
    minExtraNatIpsNeeded: 0
    name: swg-autogen-nat
    numVmEndpointsWithNatMappings: 3
  network: https://www.googleapis.com/compute/projects/PROJECT_NAME/global/networks/NETWORK_NAME
```
En esta salida, se incluyen los siguientes valores:
- PROJECT_NAME: Es el nombre de tu Google Cloud proyecto.
- NETWORK_NAME: Es el nombre de tu red de VPC.
Nota: En el resultado anterior, la puerta de enlace de Cloud NAT swg-autogen-nat tiene cuatro direcciones IP aprovisionadas automáticamente. Secure Web Proxy puede escalar verticalmente o reducir la escala verticalmente las direcciones IP de Cloud NAT aprovisionadas automáticamente según tu Google Cloud carga de trabajo.
Para actualizar la puerta de enlace de Cloud NAT para usar tu rango de IP predefinido, usa el gcloud compute routers nats update comando.
```
gcloud compute routers nats update swg-autogen-nat  \
    --router=ROUTER_NAME \
    --nat-external-ip-pool=IPv4_ADDRESSES... \
    --region=REGION
```
Reemplaza IPv4_ADDRESSES por el nombre del recurso de dirección IPv4 externa que deseas usar, separado por una coma (,).

Para verificar que tu rango de IP esté asignado a la puerta de enlace de Cloud NAT, usa el gcloud compute routers nats describe comando.

gcloud compute routers nats describe swg-autogen-nat \
    --router=ROUTER_NAME  \
    --region=REGION

El resultado es similar a este:

enableEndpointIndependentMapping: false
icmpIdleTimeoutSec: 30
logConfig:
  enable: false
  filter: ALL
name: swg-autogen-nat
natIpAllocateOption: MANUAL_ONLY
natIps:
- https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES

En esta salida, se incluyen los siguientes valores:

PROJECT_NAME: Es el nombre de tu Google Cloud proyecto.
REGION: Es la región en la que se implementa la puerta de enlace de Cloud NAT.
ADDRESS: Es el nombre del recurso de dirección IPv4 estática.

Para actualizar la puerta de enlace de Cloud NAT para usar el modo de asignación dinámica de puertos (DPA), usa el gcloud compute routers nats update comando. El modo DPA permite que tu instancia de Secure Web Proxy use las direcciones IP asignadas.
```
gcloud compute routers nats update swg-autogen-nat  \
    --router=ROUTER_NAME \
    --min-ports-per-vm=2048 \
    --max-ports-per-vm=4096 \
    --enable-dynamic-port-allocation \
    --region=REGION
```
Para las marcas --min-ports-per-vm y --max-ports-per-vm, te recomendamos que establezcas sus valores en 2048 y 4096, respectivamente.

Usa el Explorador de métricas para supervisar los datos de las métricas de lo siguiente y ajustar los valores mínimos y máximos de DPA según sea necesario:
- Cloud NAT Gateway - Port usage
- Cloud NAT Gateway - New connection count
- Cloud NAT Gateway - Open connections
Para verificar que tu DPA esté habilitada y que se establezcan los valores de puerto mínimo y máximo, usa el gcloud compute routers nats describe comando.
```
gcloud compute routers nats describe swg-autogen-nat \
    --router=ROUTER_NAME \
    --region=REGION
```
Verifica el resultado de natIpAllocateOption: MANUAL_ONLY para verificar que la lista natIps incluya tus direcciones IP estáticas.

El resultado es similar a este:
```
enableDynamicPortAllocation: true
enableEndpointIndependentMapping: false
endpointTypes:
- ENDPOINT_TYPE_SWG
logConfig:
  enable: true
  filter: ERRORS_ONLY
maxPortsPerVm: 4096
minPortsPerVm: 2048
name: swg-autogen-nat
natIpAllocateOption: MANUAL_ONLY
natIps:
- https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES
type: PUBLIC
```
En esta salida, se incluyen los siguientes valores:
- PROJECT_NAME: Es el nombre de tu Google Cloud proyecto.
- REGION: Es la región en la que se implementa la puerta de enlace de Cloud NAT.
- ADDRESS: Es el nombre del recurso de dirección IPv4 estática.