Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Atribuir endereços IP estáticos para o tráfego de saída

Por padrão, o Secure Web Proxy usa um gateway do Cloud NAT gerenciado (swg-autogen-nat) para o tráfego da Web de saída, que normalmente usa endereços IP alocados automaticamente. Esta página descreve como configurar o gateway do Cloud NAT para usar um conjunto específico de endereços IPv4 externos estáticos que você possui e gerencia no seu Google Cloud projeto. Todo o tráfego de saída das cargas de trabalho roteado pelo Secure Web Proxy tem origem em um desses IPs estáticos predefinidos.

Confira alguns dos principais benefícios da atribuição de endereços IP estáticos para o tráfego de saída:

IPs de origem de tráfego de saída previsíveis: permite que serviços externos, parceiros e firewalls locais adicionem seus endereços IP específicos às listas autorizadas, garantindo que o tráfego da instância do Secure Web Proxy seja aceito. Isso é essencial para acessar recursos protegidos por listas de controle de acesso (ACLs) baseadas em IP.
Alocação dinâmica de portas (DPA): aloca com eficiência as portas de origem disponíveis do conjunto de endereços IP estáticos atribuídos ao tráfego de saída. A DPA permite que as cargas de trabalho gerenciem o tráfego de saída com um número limitado de IPs estáticos, sem usar todas as portas disponíveis. Para mais informações, consulte Alocação dinâmica de portas.
Postura de segurança aprimorada: fornece um conjunto menor e conhecido de endereços IP para gerenciar e monitorar, simplificando as auditorias de segurança e a análise de ameaças.
Integração de terceiros aprimorada: facilita a integração perfeita com provedores de SaaS e APIs que exigem ou recomendam listas de permissões de IP para maior segurança.
Conformidade simplificada: ajuda você a atender aos requisitos de conformidade para todos os pontos de tráfego de saída e os endereços IP associados a eles.

Antes de começar

Conclua as etapas de configuração inicial.
Reserve uma lista de endereços IPv4 estáticos para usar na instância do Secure Web Proxy. Antes de reservar endereços IP em Google Cloud, certifique-se de criar um recurso de endereço usando o gcloud compute addresses create comando.
Verifique se você tem a versão 406.0.0 ou mais recente da Google Cloud CLI instalada:
```
gcloud version | head -n1
```
Se você tiver uma versão anterior da CLI gcloud instalada, atualize a versão:
```
gcloud components update --version=406.0.0
```

Configurar endereços IP estáticos para o Secure Web Proxy

Console

No Google Cloud console do, acesse a página Cloud NAT.

Acessar o Cloud NAT
Localize o gateway do Cloud NAT que a instância do Secure Web Proxy usa. O nome dele seria swg-autogen-nat e estaria associado a um Cloud NAT (com um nome no formato swg-autogen-router-YYYY) na região e na rede de nuvem privada virtual adequadas.
Para acessar a página de detalhes do gateway do Cloud NAT, clique no nome do gateway swg-autogen-nat. A página Detalhes do gateway do Cloud NAT é aberta.
Clique em Editar. A página Editar gateway Cloud NAT é aberta.
Em Endereços IP do Cloud NAT, mude a configuração de Automático (recomendado) para Manual.
Em Endereços IP, selecione os endereços IP estáticos que você reservou. Para mais informações, consulte Configurar IPs do Cloud NAT para o Secure Web Proxy.

Para adicionar vários endereços IP, clique no Adicionar endereço IP botão.
Expanda a seção Configurações avançadas e selecione a caixa de seleção Ativar alocação dinâmica de portas.
Em Portas mínimas por VM, recomendamos que você insira 2048.
Em Portas máximas por VM, recomendamos que você insira 4096.
Clique em Salvar.
Depois de salvar as alterações, verifique o seguinte:
1. Na página de detalhes do gateway do Cloud NAT, confira se a seção Endereços IP agora lista os endereços IP estáticos selecionados manualmente.
2. Verifique se a Alocação dinâmica de portas está ativada para o número mínimo e máximo correto de portas por máquina virtual (VM) que você configurou anteriormente.

Cloud Shell

Para identificar o nome do Cloud Router atribuído durante o provisionamento da instância do Secure Web Proxy, use o gcloud compute routers list comando.
```
gcloud compute routers list \
    --region REGION \
    --filter="network:(NETWORK_NAME) AND name:(swg-autogen-router-*)" \
    --format="get(name)"
```
Substitua:
- REGION: região em que o Cloud Router está implantado para a instância do Secure Web Proxy
- NETWORK_NAME: nome da rede VPC
O resultado será assim:
```
swg-autogen-router-1
```
Para listar os endereços IP externos provisionados automaticamente que foram atribuídos durante o provisionamento da instância do Secure Web Proxy, use o gcloud compute routers get-status comando.
```
gcloud compute routers get-status ROUTER_NAME  \
    --region=REGION
```
O resultado será assim:
```
kind: compute#routerStatusResponse
result:
  natStatus:
  - autoAllocatedNatIps:
    - 34.144.80.46
    - 34.144.83.75
    - 34.144.88.111
    - 34.144.94.113
    minExtraNatIpsNeeded: 0
    name: swg-autogen-nat
    numVmEndpointsWithNatMappings: 3
  network: https://www.googleapis.com/compute/projects/PROJECT_NAME/global/networks/NETWORK_NAME
```
Esta saída inclui os seguintes valores:
- PROJECT_NAME: nome do seu Google Cloud projeto
- NETWORK_NAME: nome da rede VPC
Observação: na saída anterior, o gateway do Cloud NAT swg-autogen-nattem quatro endereços IP provisionados automaticamente. O Secure Web Proxy pode escalonar verticalmente ou reduzir escala vertical automaticamente os endereços IP do Cloud NAT provisionados com base na sua Google Cloud carga de trabalho.
Para atualizar o gateway do Cloud NAT para usar o intervalo de IP predefinido, use o gcloud compute routers nats update comando.
```
gcloud compute routers nats update swg-autogen-nat  \
    --router=ROUTER_NAME \
    --nat-external-ip-pool=IPv4_ADDRESSES... \
    --region=REGION
```
Substitua IPv4_ADDRESSES pelo nome do recurso de endereço IPv4 externo que você pretende usar, separado por uma vírgula (,).

Para verificar se o intervalo de IP está atribuído ao gateway do Cloud NAT, use o gcloud compute routers nats describe comando.

gcloud compute routers nats describe swg-autogen-nat \
    --router=ROUTER_NAME  \
    --region=REGION

O resultado será assim:

enableEndpointIndependentMapping: false
icmpIdleTimeoutSec: 30
logConfig:
  enable: false
  filter: ALL
name: swg-autogen-nat
natIpAllocateOption: MANUAL_ONLY
natIps:
- https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS
sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES

Esta saída inclui os seguintes valores:

PROJECT_NAME: nome do seu Google Cloud projeto
REGION: região em que o gateway do Cloud NAT está implantado
ADDRESS: nome do recurso de endereço IPv4 estático

Para atualizar o gateway do Cloud NAT para usar o modo de alocação dinâmica de portas (DPA), use o gcloud compute routers nats update comando. O modo DPA permite que a instância do Secure Web Proxy use os endereços IP atribuídos.
```
gcloud compute routers nats update swg-autogen-nat  \
    --router=ROUTER_NAME \
    --min-ports-per-vm=2048 \
    --max-ports-per-vm=4096 \
    --enable-dynamic-port-allocation \
    --region=REGION
```
Para as flags --min-ports-per-vm e --max-ports-per-vm, recomendamos que você defina os valores como 2048 e 4096, respectivamente.

Use Metrics Explorer para monitorar dados de métricas para o seguinte e ajustar os valores mínimos e máximos da DPA conforme necessário:
- Cloud NAT Gateway - Port usage
- Cloud NAT Gateway - New connection count
- Cloud NAT Gateway - Open connections

Para verificar se a DPA está ativada e se os valores mínimo e máximo da porta estão definidos, use o gcloud compute routers nats describe comando.

gcloud compute routers nats describe swg-autogen-nat \
    --router=ROUTER_NAME \
    --region=REGION

Verifique a saída de natIpAllocateOption: MANUAL_ONLY para confirmar se a lista natIps inclui seus endereços IP estáticos.