本页面介绍如何使用 Google Cloud CLI 创建和管理 安全配置文件组 ,以及如何使用自定义安全配置文件。
准备工作
- 您必须在项目中启用 Network Security API。
如果您要运行本指南中的
gcloud命令行示例,请安装 gcloud CLI。您必须拥有自定义镜像安全配置文件。
角色
如需获得创建、查看、更新或删除安全配置文件组所需的权限,请让您的管理员向您授予组织或项目的必要 Identity and Access Management (IAM) 角色 。如需详细了解如何授予角色,请参阅 管理对项目、文件夹和组织的访问权限。
如需检查本页面中列出的操作的进度,请确保
您的用户角色具有以下
Compute Network User
(roles/compute.networkUser) 权限:
networksecurity.operations.getnetworksecurity.operations.list
使用自定义配置文件创建安全配置文件组
您可以在组织或项目级层创建安全配置文件组 (预览版)。您只能使用类型为 CUSTOM_MIRRORING 的安全配置文件创建安全配置文件组。
控制台
在 Google Cloud 控制台中,前往安全配置文件组 页面。
从项目选择器中选择您的组织或项目(预览版)。
在安全配置文件组 标签页中,点击创建配置文件组 。
对于名称,输入安全配置文件组的名称。
对于安全配置文件组用途 ,选择 NSI 带外 。
对于自定义镜像配置文件 ,选择用于带内集成的自定义安全 配置文件。
点击创建 。
gcloud
如需创建安全配置文件组,请使用 gcloud network-security security-profile-groups create 命令:
gcloud network-security security-profile-groups \
create SECURITY_PROFILE_GROUP_NAME \
--custom-mirroring-profile CUSTOM_MIRRORING_PROFILE_NAME \
--description DESCRIPTION \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
[--billing-project QUOTA_PROJECT_ID]
替换以下内容:
SECURITY_PROFILE_GROUP_NAME:安全配置文件组的名称。如果您未采用唯一网址标识符 格式, 则必须指定组织或项目名称以及位置。
CUSTOM_MIRRORING_PROFILE_NAME:自定义镜像安全配置文件的名称。DESCRIPTION:安全配置文件组的可选说明。ORGANIZATION_ID:您的组织 ID。使用此标志可创建组织级层的安全配置文件组。PROJECT_ID:您的项目 ID。使用此标志 可创建项目级层的安全配置文件组(预览版)。--project标志在(预览版)中可用。如需使用此标志,请运行gcloud beta network-security security-profile-groups create命令。QUOTA_PROJECT_ID:您的配额项目 ID。 仅对组织级层的安全配置文件组使用此标志。
Terraform
如需创建安全配置文件组,您可以使用 google_network_security_security_profile_group 资源。
如需了解如何应用或移除 Terraform 配置,请参阅 基本 Terraform 命令。
列出和查看安全配置文件组的详细信息
您可以列出组织 或项目(预览版)中的安全配置文件组,并查看组的详细信息,例如其名称和自定义 拦截配置文件。
控制台
在 Google Cloud 控制台中,前往安全配置文件组 页面。
从项目选择器中选择您的组织或项目 (预览版)。 该标签页会列出所有安全配置文件组。
在安全配置文件组 标签页中,点击安全配置文件组的名称以查看其详细信息。
gcloud
如需列出自定义镜像安全配置文件组,请使用
gcloud network-security security-profile-groups list 命令:
gcloud network-security security-profile-groups list \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
--filter CUSTOM_MIRRORING_PROFILE \
[--billing-project QUOTA_PROJECT_ID]
如需查看安全配置文件组的详细信息,请使用
gcloud network-security security-profile-groups describe 命令:
gcloud network-security security-profile-groups \
describe SECURITY_PROFILE_GROUP_NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
[--billing-project QUOTA_PROJECT_ID]
替换以下内容:
SECURITY_PROFILE_GROUP_NAME:安全配置文件组的名称。如果您未采用唯一网址标识符 格式, 则必须指定组织或项目名称以及位置。
CUSTOM_MIRRORING_PROFILE:要按其进行过滤的自定义镜像安全配置文件。ORGANIZATION_ID:安全配置文件组所在的组织 ID。PROJECT_ID:安全配置文件组所在的项目 ID。--project标志在(预览版)中可用。如需使用此标志,请运行gcloud beta network-security security-profile-groups describe命令。QUOTA_PROJECT_ID:您的配额项目 ID。 仅对组织级层的安全配置文件组使用此标志。
更新安全配置文件组
您可以更新安全配置文件组中引用的安全配置文件的说明和标签。
控制台
在 Google Cloud 控制台中,前往安全配置文件组 页面。
从项目选择器中选择您的组织或项目(预览版)。
点击您的安全配置文件组。
点击修改 。
修改规则后,点击保存 。
gcloud
如需更新安全配置文件组,请使用 gcloud network-security security-profile-groups update 命令:
gcloud network-security security-profile-groups \
update SECURITY_PROFILE_GROUP_NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
--description DESCRIPTION
替换以下内容:
SECURITY_PROFILE_GROUP_NAME:您要更新的安全配置文件组的名称。如果您未采用唯一网址标识符 格式, 则必须指定组织或项目名称以及位置。
ORGANIZATION_ID:安全配置文件组所在的组织 ID。PROJECT_ID:安全配置文件组所在的项目 ID。--project标志在(预览版)中可用。如需使用此标志,请运行gcloud beta network-security security-profile-groups update命令。DESCRIPTION:安全配置文件组的可选说明。
删除安全配置文件组
您可以通过指定安全配置文件组的名称、位置和组织来删除它。但是,如果网络防火墙政策引用了自定义安全配置文件,则无法删除该安全配置文件组。
控制台
在 Google Cloud 控制台中,前往安全配置文件组 页面。
从项目选择器中选择您的组织或项目(预览版)。
在安全配置文件组 标签页中,选中要删除的安全配置文件组的复选框,然后点击删除 。
再次点击删除 进行确认。
gcloud
如需删除安全配置文件组,请使用 gcloud network-security security-profile-groups delete 命令:
gcloud network-security security-profile-groups \
delete SECURITY_PROFILE_GROUP_NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
[--billing-project QUOTA_PROJECT_ID]
替换以下内容:
SECURITY_PROFILE_GROUP_NAME:您要删除的安全配置文件组的名称。如果您未采用唯一网址标识符 格式, 则必须指定组织或项目名称以及位置。
ORGANIZATION_ID:安全配置文件组所在的组织 ID。PROJECT_ID:安全配置文件组所在的项目 ID。--project标志在(预览版)中可用。如需使用此标志,请运行gcloud beta network-security security-profile-groups delete命令。QUOTA_PROJECT_ID:您的配额项目 ID。 仅对组织级层的安全配置文件组使用此标志。