Assegna indirizzi IP statici per il traffico in uscita

Per impostazione predefinita, Secure Web Proxy utilizza un gateway Cloud NAT gestito (swg-autogen-nat) per il traffico web in uscita, che in genere utilizza indirizzi IP allocati automaticamente. Questa pagina descrive come configurare il gateway Cloud NAT in modo che utilizzi un insieme specifico di indirizzi IPv4 esterni statici di tua proprietà e gestiti nel tuo Google Cloud progetto. Tutto il traffico in uscita dai tuoi carichi di lavoro instradato tramite Secure Web Proxy ha origine da uno di questi IP statici predefiniti.

Ecco alcuni vantaggi principali dell'assegnazione di indirizzi IP statici per il traffico in uscita:

  • IP di origine del traffico in uscita prevedibili: consente a servizi esterni, partner e firewall on-premise di aggiungere i tuoi indirizzi IP specifici alle loro liste autorizzate, assicurando che il traffico dalla tua istanza Secure Web Proxy venga accettato. Questo è essenziale per accedere alle risorse protette da elenchi di controllo dell'accesso (ACL) basati su IP.

  • Allocazione dinamica delle porte (DPA): alloca in modo efficiente le porte di origine disponibili dall'insieme di indirizzi IP statici assegnati per il traffico in uscita. La DPA consente ai carichi di lavoro di gestire il traffico in uscita con un numero limitato di IP statici, senza utilizzare tutte le porte disponibili. Per saperne di più, consulta Allocazione dinamica delle porte.

  • Security posture migliorata: fornisce un insieme più piccolo e noto di indirizzi IP da gestire e monitorare, semplificando gli audit di sicurezza e l'analisi delle minacce.

  • Integrazione di terze parti migliorata: facilita l'integrazione senza problemi con i fornitori SaaS e le API che richiedono o consigliano le liste consentite di IP per una maggiore sicurezza.

  • Conformità semplificata: ti aiuta a soddisfare i requisiti di conformità per tutti i punti di traffico in uscita e i relativi indirizzi IP.

Prima di iniziare

  • Completa la procedura di configurazione iniziale.

  • Prenota un elenco di indirizzi IPv4 statici da utilizzare per l'istanza Secure Web Proxy. Prima di prenotare gli indirizzi IP in Google Cloud, assicurati di creare una risorsa indirizzo utilizzando il gcloud compute addresses create comando.

  • Verifica di aver installato la versione 406.0.0 o successive di Google Cloud CLI:

    gcloud version | head -n1

    Se hai installato una versione precedente di gcloud CLI, aggiornala:

    gcloud components update --version=406.0.0

Configurare gli indirizzi IP statici per Secure Web Proxy

Console

  1. Nella Google Cloud console, vai alla pagina Cloud NAT.

    Vai a Cloud NAT

  2. Individua il gateway Cloud NAT utilizzato dall'istanza Secure Web Proxy. Il nome è swg-autogen-nat e sarà associato a un Cloud NAT (con un nome nel formato swg-autogen-router-YYYY) nella regione e nella rete Virtual Private Cloud appropriate.

  3. Per accedere alla pagina dei dettagli del gateway Cloud NAT, fai clic sul nome del gateway swg-autogen-nat. Viene visualizzata la pagina Dettagli del gateway Cloud NAT.

  4. Fai clic su Modifica. Viene visualizzata la pagina Modifica gateway Cloud NAT.

  5. In Indirizzi IP Cloud NAT, cambia l'impostazione da Automatico (consigliato) a Manuale.

  6. In Indirizzi IP, seleziona gli indirizzi IP statici che hai prenotato. Per saperne di più, consulta Configurare gli IP Cloud NAT per Secure Web Proxy.

    Per aggiungere più indirizzi IP, fai clic sul Aggiungi indirizzo IP pulsante.

  7. Espandi la sezione Configurazioni avanzate e seleziona la casella di controllo Abilita l'allocazione dinamica delle porte.

  8. Per Porte minime per VM, ti consigliamo di inserire 2048.

  9. Per Porte massime per VM, ti consigliamo di inserire 4096.

  10. Fai clic su Salva.

  11. Dopo aver salvato le modifiche, verifica quanto segue:

    1. Nella pagina dei dettagli del gateway Cloud NAT, controlla che la sezione Indirizzi IP ora elenchi gli indirizzi IP statici selezionati manualmente.

    2. Verifica che l'allocazione dinamica delle porte sia abilitata per le porte minime e massime per macchina virtuale (VM) che hai configurato in precedenza.

Cloud Shell

  1. Per identificare il nome del router Cloud assegnato durante il provisioning dell'istanza Secure Web Proxy, utilizza il gcloud compute routers list comando.

    gcloud compute routers list \
    --region REGION \
    --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
    --format="get(name)"

    Sostituisci quanto segue:

    • REGION: regione in cui è stato eseguito il deployment del router Cloud per l'istanza Secure Web Proxy
    • NETWORK_NAME: nome della rete VPC

    L'output è simile al seguente:

    swg-autogen-router-1

  2. Per elencare gli indirizzi IP esterni con provisioning automatico assegnati durante il provisioning dell'istanza Secure Web Proxy, utilizza il gcloud compute routers get-status comando.

    gcloud compute routers get-status ROUTER_NAME  \
    --region=REGION

    L'output è simile al seguente:

    kind: compute#routerStatusResponse
result:
  natStatus:
  - autoAllocatedNatIps:
    - 34.144.80.46
    - 34.144.83.75
    - 34.144.88.111
    - 34.144.94.113
    minExtraNatIpsNeeded: 0
    name: swg-autogen-nat
    numVmEndpointsWithNatMappings: 3
  network: https://www.googleapis.com/compute/projects/PROJECT_NAME/global/networks/NETWORK_NAME

    Questo output include i seguenti valori:

    • PROJECT_NAME: nome del tuo Google Cloud progetto
    • NETWORK_NAME: nome della rete VPC

  3. Per aggiornare il gateway Cloud NAT in modo che utilizzi l'intervallo IP predefinito, utilizza il gcloud compute routers nats update comando.

    gcloud compute routers nats update swg-autogen-nat  \
    --router=ROUTER_NAME \
    --nat-external-ip-pool=IPv4_ADDRESSES... \
    --region=REGION

    Sostituisci IPv4_ADDRESSES con il nome della risorsa dell'indirizzo IPv4 esterno che intendi utilizzare, separati da una virgola (,).

  4. Per verificare che l'intervallo IP sia assegnato al gateway Cloud NAT, utilizza il comando gcloud compute routers nats describe.

    gcloud compute routers nats describe swg-autogen-nat \
    --router=ROUTER_NAME  \
    --region=REGION

    L'output è simile al seguente:

    enableEndpointIndependentMapping: false
icmpIdleTimeoutSec: 30
logConfig:
  enable: false
  filter: ALL
name: swg-autogen-nat
natIpAllocateOption: MANUAL_ONLY
natIps:
- https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES

    Questo output include i seguenti valori:

    • PROJECT_NAME: nome del tuo Google Cloud progetto
    • REGION: regione in cui è stato eseguito il deployment del gateway Cloud NAT
    • ADDRESS: nome della risorsa dell'indirizzo IPv4 statico

  5. Per aggiornare il gateway Cloud NAT in modo che utilizzi la modalità di allocazione dinamica delle porte (DPA), utilizza il gcloud compute routers nats update comando. La modalità DPA consente all'istanza Secure Web Proxy di utilizzare gli indirizzi IP assegnati.

    gcloud compute routers nats update swg-autogen-nat  \
    --router=ROUTER_NAME \
    --min-ports-per-vm=2048 \
    --max-ports-per-vm=4096 \
    --enable-dynamic-port-allocation \
    --region=REGION

    Per i flag --min-ports-per-vm e --max-ports-per-vm, ti consigliamo di impostare i valori rispettivamente su 2048 e 4096.

    Utilizza Metrics Explorer per monitorare i dati delle metriche per quanto segue e regolare i valori minimi e massimi della DPA in base alle esigenze:

    • Cloud NAT Gateway - Port usage
    • Cloud NAT Gateway - New connection count
    • Cloud NAT Gateway - Open connections

  6. Per verificare che la DPA sia abilitata e che i valori delle porte minime e massime siano impostati, utilizza il gcloud compute routers nats describe comando.

    gcloud compute routers nats describe swg-autogen-nat \
    --router=ROUTER_NAME \
    --region=REGION

    Controlla l'output per natIpAllocateOption: MANUAL_ONLY per verificare che l'elenco natIps includa gli indirizzi IP statici.

    L'output è simile al seguente:

    enableDynamicPortAllocation: true
enableEndpointIndependentMapping: false
endpointTypes:
- ENDPOINT_TYPE_SWG
logConfig:
  enable: true
  filter: ERRORS_ONLY
maxPortsPerVm: 4096
minPortsPerVm: 2048
name: swg-autogen-nat
natIpAllocateOption: MANUAL_ONLY
natIps:
- https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES
type: PUBLIC

    Questo output include i seguenti valori:

    • PROJECT_NAME: nome del tuo Google Cloud progetto
    • REGION: regione in cui è stato eseguito il deployment del gateway Cloud NAT
    • ADDRESS: nome della risorsa dell'indirizzo IPv4 statico

Passaggi successivi