Attribuer des adresses IP statiques pour le trafic sortant

Par défaut, Secure Web Proxy utilise une passerelle Cloud NAT gérée (swg-autogen-nat) pour le trafic Web sortant, qui utilise généralement des adresses IP allouées automatiquement. Cette page explique comment configurer la passerelle Cloud NAT pour qu'elle utilise un ensemble spécifique d'adresses IPv4 externes statiques que vous possédez et gérez dans votre Google Cloud projet. Tout le trafic sortant de vos charges de travail acheminé via le Secure Web Proxy provient alors de l'une de ces adresses IP statiques prédéfinies.

Voici quelques-uns des principaux avantages de l'attribution d'adresses IP statiques à votre trafic sortant :

  • Adresses IP sources de trafic sortant prévisibles : permet aux services externes, aux partenaires et aux pare-feu sur site d'ajouter vos adresses IP spécifiques à leurs listes autorisées, ce qui garantit que le trafic provenant de votre instance de proxy Web sécurisé est accepté. Cela est essentiel pour accéder aux ressources protégées par des listes de contrôle des accès (LCA) basées sur des adresses IP.

  • Allocation de ports dynamique (APD) : alloue efficacement les ports sources disponibles à partir de l'ensemble d'adresses IP statiques que vous attribuez au trafic sortant. L'APD permet à vos charges de travail de gérer le trafic sortant avec un nombre limité d'adresses IP statiques, sans utiliser tous les ports disponibles. Pour en savoir plus, consultez la section Allocation de ports dynamique.

  • Amélioration de la posture de sécurité : fournit un ensemble plus petit et connu d'adresses IP à gérer et à surveiller, ce qui simplifie les audits de sécurité et l'analyse des menaces.

  • Amélioration de l'intégration tierce : facilite l'intégration transparente aux fournisseurs SaaS et aux API qui nécessitent ou recommandent des listes d'autorisation d'adresses IP pour une sécurité renforcée.

  • Conformité simplifiée : vous aide à répondre aux exigences de conformité pour tous les points de trafic sortant et leurs adresses IP associées.

Avant de commencer

  • Suivez la procédure de configuration initiale.

  • Réservez une liste d'adresses IPv4 statiques à utiliser pour votre instance de proxy Web sécurisé. Avant de réserver des adresses IP dans Google Cloud, assurez-vous de créer une ressource d'adresse à l'aide de la gcloud compute addresses create commande.

  • Vérifiez que la version 406.0.0 (ou ultérieure) de la Google Cloud CLI est installée :

    gcloud version | head -n1

    Si vous avez installé une version antérieure de la gcloud CLI, mettez-la à jour :

    gcloud components update --version=406.0.0

Configurer des adresses IP statiques pour Secure Web Proxy

Console

  1. Dans la Google Cloud console, accédez à la page Cloud NAT.

    Accéder à Cloud NAT

  2. Recherchez la passerelle Cloud NAT utilisée par votre instance de proxy Web sécurisé. Son nom est swg-autogen-nat, et elle est associée à un Cloud NAT (dont le nom est au format swg-autogen-router-YYYY) dans la région et le réseau de cloud privé virtuel appropriés.

  3. Pour accéder à la page d'informations de la passerelle Cloud NAT, cliquez sur le nom de la passerelle swg-autogen-nat. La page Détails de la passerelle Cloud NAT s'ouvre.

  4. Cliquez sur Modifier. La page Modifier la passerelle Cloud NAT s'ouvre.

  5. Pour Adresses IP Cloud NAT, remplacez le paramètre Automatique (recommandé) par Manuel.

  6. Pour Adresses IP, sélectionnez les adresses IP statiques que vous avez réservées. Pour en savoir plus, consultez Configurer des adresses IP Cloud NAT pour le proxy Web sécurisé.

    Pour ajouter plusieurs adresses IP, cliquez sur le Ajouter une adresse IP bouton.

  7. Développez la section Configurations avancées, puis cochez la case Activer l'allocation de ports dynamique.

  8. Pour Ports min. par VM, nous vous recommandons de saisir 2048.

  9. Pour Ports max. par VM, nous vous recommandons de saisir 4096.

  10. Cliquez sur Enregistrer.

  11. Après avoir enregistré vos modifications, vérifiez les points suivants :

    1. Sur la page d'informations de la passerelle Cloud NAT, vérifiez que la section Adresses IP affiche désormais les adresses IP statiques que vous avez sélectionnées manuellement.

    2. Vérifiez que l'allocation de ports dynamique est activée pour le nombre minimal et maximal de ports par machine virtuelle (VM) que vous avez configuré précédemment.

Cloud Shell

  1. Pour identifier le nom du Cloud Router qui a été attribué lors du provisionnement de votre instance de Secure Web Proxy, utilisez la gcloud compute routers list commande.

    gcloud compute routers list \
    --region REGION \
    --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
    --format="get(name)"

    Remplacez les éléments suivants :

    • REGION: région dans laquelle le routeur Cloud Router est déployé pour votre instance de proxy Web sécurisé
    • NETWORK_NAME: nom de votre réseau VPC

    Le résultat ressemble à ce qui suit :

    swg-autogen-router-1

  2. Pour lister les adresses IP externes provisionnées automatiquement qui ont été attribuées lors du provisionnement de votre instance Secure Web Proxy, utilisez la gcloud compute routers get-status commande.

    gcloud compute routers get-status ROUTER_NAME  \
    --region=REGION

    Le résultat ressemble à ce qui suit :

    kind: compute#routerStatusResponse
result:
  natStatus:
  - autoAllocatedNatIps:
    - 34.144.80.46
    - 34.144.83.75
    - 34.144.88.111
    - 34.144.94.113
    minExtraNatIpsNeeded: 0
    name: swg-autogen-nat
    numVmEndpointsWithNatMappings: 3
  network: https://www.googleapis.com/compute/projects/PROJECT_NAME/global/networks/NETWORK_NAME

    Ce résultat inclut les valeurs suivantes :

    • PROJECT_NAME : nom de votre Google Cloud projet
    • NETWORK_NAME: nom de votre réseau VPC

  3. Pour mettre à jour la passerelle Cloud NAT afin qu'elle utilise votre plage d'adresses IP prédéfinie, utilisez la gcloud compute routers nats update commande.

    gcloud compute routers nats update swg-autogen-nat  \
    --router=ROUTER_NAME \
    --nat-external-ip-pool=IPv4_ADDRESSES... \
    --region=REGION

    Remplacez IPv4_ADDRESSES par le nom de la ressource d'adresse IPv4 externe que vous souhaitez utiliser, séparés par une virgule (,).

  4. Pour vérifier que votre plage d'adresses IP est attribuée à la passerelle Cloud NAT, utilisez la gcloud compute routers nats describe commande.

    gcloud compute routers nats describe swg-autogen-nat \
    --router=ROUTER_NAME  \
    --region=REGION

    Le résultat ressemble à ce qui suit :

    enableEndpointIndependentMapping: false
icmpIdleTimeoutSec: 30
logConfig:
  enable: false
  filter: ALL
name: swg-autogen-nat
natIpAllocateOption: MANUAL_ONLY
natIps:
- https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES

    Ce résultat inclut les valeurs suivantes :

    • PROJECT_NAME : nom de votre Google Cloud projet
    • REGION: région dans laquelle la passerelle Cloud NAT est déployée
    • ADDRESS: nom de la ressource d'adresse IPv4 statique

  5. Pour mettre à jour la passerelle Cloud NAT afin qu'elle utilise le mode d'allocation de ports dynamique (APD) , utilisez la commande gcloud compute routers nats update. Le mode APD permet à votre instance de proxy Web sécurisé d'utiliser les adresses IP attribuées.

    gcloud compute routers nats update swg-autogen-nat  \
    --router=ROUTER_NAME \
    --min-ports-per-vm=2048 \
    --max-ports-per-vm=4096 \
    --enable-dynamic-port-allocation \
    --region=REGION

    Pour les options --min-ports-per-vm et --max-ports-per-vm, nous vous recommandons de définir leurs valeurs sur 2048 et 4096, respectivement.

    Utilisez l'explorateur de métriques pour surveiller les données de métriques pour les éléments suivants et ajuster les valeurs minimales et maximales de l'APD si nécessaire :

    • Cloud NAT Gateway - Port usage
    • Cloud NAT Gateway - New connection count
    • Cloud NAT Gateway - Open connections

  6. Pour vérifier que votre APD est activée et que les valeurs minimales et maximales des ports sont définies, utilisez la gcloud compute routers nats describe commande.

    gcloud compute routers nats describe swg-autogen-nat \
    --router=ROUTER_NAME \
    --region=REGION

    Vérifiez que le résultat contient natIpAllocateOption: MANUAL_ONLY pour vous assurer que la liste natIps inclut vos adresses IP statiques.

    Le résultat ressemble à ce qui suit :

    enableDynamicPortAllocation: true
enableEndpointIndependentMapping: false
endpointTypes:
- ENDPOINT_TYPE_SWG
logConfig:
  enable: true
  filter: ERRORS_ONLY
maxPortsPerVm: 4096
minPortsPerVm: 2048
name: swg-autogen-nat
natIpAllocateOption: MANUAL_ONLY
natIps:
- https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES
type: PUBLIC

    Ce résultat inclut les valeurs suivantes :

    • PROJECT_NAME : nom de votre Google Cloud projet
    • REGION: région dans laquelle la passerelle Cloud NAT est déployée
    • ADDRESS: nom de la ressource d'adresse IPv4 statique

Étape suivante