ミラーリング デプロイメント グループは、複数のゾーンにわたって設定されたミラーリング デプロイメントのコレクションです。このコレクションは、コンシューマーが接続できるプロデューサーのミラーリング サービスを表します。
ミラーリング デプロイ グループは、一意の URL 識別子で識別されます。この URL は、ミラーリングされたパケットがディープ パケット インスペクションのために送信されるプロデューサー ミラーリング サービスを特定するために、ミラーリング エンドポイント グループで使用されます。
このドキュメントでは、ミラーリング デプロイ グループとその機能について詳しく説明します。
仕様
ミラーリング デプロイ グループは、グローバル プロジェクト レベルのリソースです。
各ミラーリング デプロイ グループは、次の要素を含む URL で一意に識別されます。
- プロジェクト ID: プロジェクトの ID。
- ロケーション: ミラーリング デプロイ グループのスコープ。ロケーションは常に
globalに設定されます。 - 名前: 次の形式のミラーリング デプロイ グループ名。
- 1~63 文字の文字列
- 小文字の英数字とハイフン(-)のみを使用
- 先頭は英字にしてください
ミラーリング デプロイ グループの一意の URL 識別子を作成するには、次の形式を使用します。
projects/PROJECT_ID/locations/global/mirroringDeploymentGroups/DEPLOYMENT_GROUP_ID次のように置き換えます。
PROJECT_ID: プロジェクトの IDDEPLOYMENT_GROUP_ID: ミラーリング デプロイ グループの ID
たとえば、
globalミラーリング デプロイexample-mirroring-deployment-groupのプロジェクト2345678432には、次のような固有識別子があります。projects/2345678432/locations/global/mirroringDeploymentGroups/example-mirroring-deployment-group
単一のミラーリング デプロイ グループを使用して、異なるプロジェクトとアカウントにまたがる複数の Virtual Private Cloud(VPC)インスタンスからミラーリングされたトラフィックを検査できます。
特定のゾーンにデプロイがない場合、コンシューマー側では、そのゾーンのパケットはミラーリングされません。
デプロイ グループを削除するには、そのデプロイ グループ内のすべてのデプロイを削除する必要があります。
Identity and Access Management ロール
Identity and Access Management(IAM)ロールは、ミラーリング デプロイ グループを管理するための次の操作を管理します。
- プロジェクトにミラーリング デプロイ グループを作成する
- ミラーリング デプロイ グループの変更または削除
- ミラーリング デプロイ グループの詳細を表示する
- プロジェクトで構成されたすべてのミラーリング デプロイ グループの表示
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| 新しいミラーリング デプロイ グループを作成する | ミラーリング デプロイ グループが作成されるプロジェクトに対するミラーリング デプロイ管理者ロール(networksecurity.mirroringDeploymentAdmin)。 |
| 既存のミラーリング デプロイ グループを変更する | ミラーリング デプロイ グループが作成されるプロジェクトに対するミラーリング デプロイ管理者ロール(networksecurity.mirroringDeploymentAdmin)。 |
| プロジェクト内のミラーリング デプロイ グループの詳細を表示する | プロジェクトに対する次のいずれかのロール:
|
| プロジェクト内のすべてのミラーリング デプロイ グループを表示する | プロジェクトに対する次のいずれかのロール:
|
| ミラーリング デプロイ グループを削除する | プロジェクトに対するミラーリング デプロイ管理者ロール(networksecurity.mirroringDeploymentAdmin)。 |
割り当て
ミラーリング デプロイ グループに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。