Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Menetapkan alamat IP statis untuk traffic keluar

Secara default, Secure Web Proxy menggunakan gateway Cloud NAT terkelola (swg-autogen-nat) untuk traffic web keluar, yang biasanya menggunakan alamat IP yang dialokasikan secara otomatis. Halaman ini menjelaskan cara mengonfigurasi gateway Cloud NAT untuk menggunakan kumpulan alamat IPv4 eksternal statis tertentu yang Anda miliki dan kelola di project Anda. Google Cloud Semua traffic keluar dari workload Anda yang dirutekan melalui Secure Web Proxy kemudian berasal dari salah satu IP statis yang telah ditentukan sebelumnya.

Berikut beberapa manfaat utama menetapkan alamat IP statis untuk traffic keluar Anda:

IP sumber traffic keluar yang dapat diprediksi: memungkinkan layanan eksternal, partner, dan firewall lokal menambahkan alamat IP tertentu Anda ke daftar yang diizinkan, sehingga memastikan bahwa traffic dari instance Secure Web Proxy Anda diterima. Hal ini penting untuk mengakses resource yang dilindungi oleh daftar kontrol akses (ACL) berbasis IP.
Alokasi port dinamis (DPA): mengalokasikan port sumber yang tersedia secara efisien dari kumpulan alamat IP statis yang Anda tetapkan untuk traffic keluar. DPA memungkinkan workload Anda mengelola traffic keluar dengan jumlah IP statis yang terbatas, tanpa menggunakan semua port yang tersedia. Untuk mengetahui informasi selengkapnya, lihat Alokasi port dinamis.
Postur keamanan yang ditingkatkan: menyediakan kumpulan alamat IP yang lebih kecil dan dikenal untuk dikelola dan dipantau, sehingga menyederhanakan audit keamanan dan analisis ancaman.
Integrasi pihak ketiga yang ditingkatkan: memfasilitasi integrasi yang lancar dengan penyedia SaaS dan API yang memerlukan atau merekomendasikan daftar yang diizinkan IP untuk meningkatkan keamanan.
Kepatuhan yang disederhanakan: membantu Anda memenuhi persyaratan kepatuhan untuk semua titik traffic keluar dan alamat IP terkaitnya.

Sebelum memulai

Selesaikan langkah-langkah penyiapan awal.
Cadangkan daftar alamat IPv4 statis untuk digunakan untuk instance Secure Web Proxy Anda. Sebelum mencadangkan alamat IP di Google Cloud, pastikan Anda membuat resource alamat menggunakan gcloud compute addresses create perintah.
Pastikan Anda telah menginstal Google Cloud CLI versi 406.0.0 atau yang lebih baru:
```
gcloud version | head -n1
```
Jika Anda telah menginstal gcloud CLI versi sebelumnya, update versinya:
```
gcloud components update --version=406.0.0
```

Mengonfigurasi alamat IP statis untuk Secure Web Proxy

Konsol

Di Google Cloud konsol, buka halaman Cloud Nat.

Buka Cloud Nat
Temukan gateway Cloud NAT yang digunakan instance Secure Web Proxy Anda. Namanya adalah swg-autogen-nat, dan akan dikaitkan dengan Cloud NAT (dengan nama dalam format swg-autogen-router-YYYY) di region dan jaringan Virtual Private Cloud yang sesuai.
Untuk membuka halaman detail gateway Cloud NAT, klik nama gateway swg-autogen-nat. Halaman Detail gateway Cloud NAT akan terbuka.
Klik Edit. Halaman Edit gateway Cloud NAT akan terbuka.
Untuk Alamat IP Cloud NAT, ubah setelan dari Otomatis (direkomendasikan) menjadi Manual.
Untuk Alamat IP, pilih alamat IP statis yang Anda cadangkan. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi IP Cloud NAT untuk Secure Web Proxy.

Untuk menambahkan beberapa alamat IP, klik tombol Tambahkan alamat IP.
Luaskan bagian Konfigurasi lanjutan, lalu centang kotak Aktifkan Alokasi Port Dinamis.
Untuk Port min per VM, sebaiknya masukkan 2048.
Untuk Port maks per VM, sebaiknya masukkan 4096.
Klik Simpan.
Setelah menyimpan perubahan, pastikan hal berikut:
1. Di halaman detail gateway Cloud NAT, pastikan bagian Alamat IP kini mencantumkan alamat IP statis yang Anda pilih secara manual.
2. Pastikan Alokasi Port Dinamis diaktifkan untuk port minimum dan maksimum yang benar per mesin virtual (VM) yang Anda konfigurasi sebelumnya.

Cloud Shell

Untuk mengidentifikasi nama Cloud Router yang ditetapkan saat menyediakan instance Secure Web Proxy Anda, gunakan gcloud compute routers list perintah.
```
gcloud compute routers list \
    --region REGION \
    --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
    --format="get(name)"
```
Ganti kode berikut:
- REGION: region tempat Cloud Router di-deploy untuk instance Secure Web Proxy Anda
- NETWORK_NAME: nama jaringan VPC Anda
Outputnya mirip dengan hal berikut ini:
```
swg-autogen-router-1
```
Untuk mencantumkan alamat IP eksternal yang disediakan secara otomatis yang ditetapkan saat menyediakan instance Secure Web Proxy Anda, gunakan perintah gcloud compute routers get-status command.
```
gcloud compute routers get-status ROUTER_NAME  \
    --region=REGION
```
Outputnya mirip dengan hal berikut ini:
```
kind: compute#routerStatusResponse
result:
  natStatus:
  - autoAllocatedNatIps:
    - 34.144.80.46
    - 34.144.83.75
    - 34.144.88.111
    - 34.144.94.113
    minExtraNatIpsNeeded: 0
    name: swg-autogen-nat
    numVmEndpointsWithNatMappings: 3
  network: https://www.googleapis.com/compute/projects/PROJECT_NAME/global/networks/NETWORK_NAME
```
Output ini mencakup nilai-nilai berikut:
- PROJECT_NAME: nama Google Cloud project Anda
- NETWORK_NAME: nama jaringan VPC Anda
Catatan: Dalam output sebelumnya, gateway Cloud NAT swg-autogen-nat memiliki empat alamat IP yang disediakan secara otomatis. Secure Web Proxy dapat menskalakan alamat IP Cloud NAT yang disediakan secara otomatis ke atas atau ke bawah berdasarkan workload Anda. Google Cloud
Untuk mengupdate gateway Cloud NAT agar menggunakan rentang IP yang telah ditentukan sebelumnya, gunakan perintah gcloud compute routers nats update.
```
gcloud compute routers nats update swg-autogen-nat  \
    --router=ROUTER_NAME \
    --nat-external-ip-pool=IPv4_ADDRESSES... \
    --region=REGION
```
Ganti IPv4_ADDRESSES dengan nama resource alamat IPv4 eksternal yang ingin Anda gunakan, yang dipisahkan dengan koma (,).

Untuk memverifikasi bahwa rentang IP Anda ditetapkan ke gateway Cloud NAT, gunakan perintah gcloud compute routers nats describe.

gcloud compute routers nats describe swg-autogen-nat \
    --router=ROUTER_NAME  \
    --region=REGION

Outputnya mirip dengan hal berikut ini:

enableEndpointIndependentMapping: false
icmpIdleTimeoutSec: 30
logConfig:
  enable: false
  filter: ALL
name: swg-autogen-nat
natIpAllocateOption: MANUAL_ONLY
natIps:
- https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES

Output ini mencakup nilai-nilai berikut:

PROJECT_NAME: nama Google Cloud project Anda
REGION: region tempat gateway Cloud NAT di-deploy
ADDRESS: nama resource alamat IPv4 statis

Untuk mengupdate gateway Cloud NAT agar menggunakan mode alokasi port dinamis (DPA), gunakan perintah gcloud compute routers nats update command. Mode DPA memungkinkan instance Secure Web Proxy Anda menggunakan alamat IP yang ditetapkan.
```
gcloud compute routers nats update swg-autogen-nat  \
    --router=ROUTER_NAME \
    --min-ports-per-vm=2048 \
    --max-ports-per-vm=4096 \
    --enable-dynamic-port-allocation \
    --region=REGION
```
Untuk flag --min-ports-per-vm dan --max-ports-per-vm, sebaiknya tetapkan nilainya ke 2048 dan 4096, masing-masing.

Gunakan Metrics Explorer untuk memantau data metrik untuk hal berikut dan menyesuaikan nilai minimum dan maksimum DPA sesuai kebutuhan:
- Cloud NAT Gateway - Port usage
- Cloud NAT Gateway - New connection count
- Cloud NAT Gateway - Open connections

Untuk memverifikasi bahwa DPA Anda diaktifkan dan nilai port minimum dan maksimum ditetapkan, gunakan gcloud compute routers nats describe perintah.

gcloud compute routers nats describe swg-autogen-nat \
    --router=ROUTER_NAME \
    --region=REGION

Periksa output untuk natIpAllocateOption: MANUAL_ONLY untuk memverifikasi bahwa daftar natIps menyertakan alamat IP statis Anda.