Eine Endpunktgruppe ist eine Nutzerressource, die auf eine Bereitstellungsgruppe des Erstellers verweist. Auf dieser Seite erhalten Sie eine detaillierte Übersicht über Spiegelungsendpunktgruppen und ihre Funktionen.
Endpunktgruppen für Spiegelung
Wir empfehlen, die Spiegelungsendpunktgruppe in einem Projekt zu erstellen, das Ihrem Sicherheitsadministrator gehört. Damit die Verknüpfungen der Spiegelungs-Endpunktgruppe erstellt werden können, muss der Sicherheitsadministrator dem Projekt oder dem Netzwerkadministrator die Rollen „Mirroring Endpoint Admin“ (roles/networksecurity.mirroringAdmin) und „Mirroring Endpoint Network Admin“ (roles/networksecurity.mirroringEndpointNetworkAdmin) zuweisen.
Weitere Informationen zur Verknüpfung von Spiegelungs-Endpunktgruppen finden Sie unter Verknüpfung von Spiegelungs-Endpunktgruppen.
Spezifikationen
- Eine Spiegelungs-Endpunktgruppe ist eine Ressource auf Projektebene, die auf globaler Ebene erstellt wird.
- Bei der Integration von Network Security wird die Paketspiegelungstechnologie verwendet, um den Traffic von den Google Cloud -Arbeitslasten in einem VPC-Netzwerk (Virtual Private Cloud) an die Spiegelungs-Endpunktgruppen zu spiegeln.
- Das Sicherheitsprofil leitet den Arbeitslast-Traffic in einem VPC-Netzwerk nur dann an die Spiegelungs-Endpunktgruppe weiter, wenn die Spiegelungsregeln für diesen Flow konfiguriert sind und das Netzwerk der Spiegelungs-Endpunktgruppe zugeordnet ist.
- Durch die Spiegelungsregeln wird jedem Paket, das zur Deep Packet Inspection an die Spiegelungs-Endpunktgruppen weitergeleitet wird, eine VPC-Netzwerkkennung hinzugefügt. Wenn Sie mehrere VPC-Netzwerke mit sich überschneidenden IP-Adressbereichen haben, sorgt diese Netzwerk-ID dafür, dass jedes umgeleitete Paket dem richtigen VPC-Netzwerk zugeordnet wird.
- Sie können eine Spiegelungs-Endpunktgruppe global erstellen und sie einem oder mehreren VPC-Netzwerken zuordnen, um Arbeitslasten zu überwachen. Sie verwenden eine Endpunktgruppen-Verknüpfung für Spiegelung, um eine Endpunktgruppe für Spiegelung an ein VPC-Netzwerk anzuhängen.
- Sie können eine Spiegelungs-Endpunktgruppe nur löschen, wenn ihr keine VPC-Netzwerke zugeordnet sind.
Verknüpfungen der Spiegelungs-Endpunktgruppe
Die Verknüpfung der Spiegelungs-Endpunktgruppe ist eine Ressource auf Projektebene. Eine Spiegelungs-Endpunktgruppen-Verknüpfung verknüpft Spiegelungs-Endpunktgruppen mit einem VPC-Netzwerk, damit ihr Traffic für die Prüfung infrage kommt. Nachdem eine Spiegelungsendpunktgruppe verknüpft wurde, wird der gesamte Traffic, der den Spiegelungsregeln entspricht, repliziert und an die angehängte Bereitstellungsgruppe für die Spiegelung gesendet. Weitere Informationen zum Erstellen und Verwalten von Spiegelungsendpunktgruppen-Zuordnungen finden Sie unter Spiegelungsendpunktgruppen-Zuordnungen erstellen und verwalten.
Identitäts- und Zugriffsverwaltungsrollen
IAM-Rollen (Identity and Access Management) steuern die folgenden Aktionen zum Verwalten der Spiegelungsendpunktgruppen:
- Spiegelungs-Endpunktgruppe in einem Projekt erstellen
- Spiegelungsendpunktgruppe ändern oder löschen
- Details zu einer Endpunktgruppe für Spiegelung ansehen
- Alle in einem Projekt konfigurierten Endpunktgruppen für Spiegelung ansehen
In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.
| Funktion | Erforderliche Rolle |
|---|---|
| Neue Spiegelungsendpunktgruppe erstellen | Rolle „Administrator für Spiegelungs-Endpunkt“ (roles/networksecurity.mirroringEndpointAdmin) für das Projekt, in dem die Spiegelungs-Endpunktgruppe erstellt wird. |
| Vorhandene Endpunktgruppe für Spiegelung ändern | Die Rolle „Mirroring Endpoint Admin“ (roles/networksecurity.mirroringEndpointAdmin) für das Projekt. |
| Details zur Spiegelungsendpunktgruppe in einem Projekt ansehen | Eine der folgenden Rollen für das Projekt:
|
| Alle Endpunktgruppen für Spiegelungen in einem Projekt ansehen | Eine der folgenden Rollen für das Projekt:
|
IAM-Rollen regeln die folgenden Aktionen für die Spiegelungsendpunktgruppen-Zuordnungen:
- Spiegelungs-Endpunktgruppen-Verknüpfung in einem Projekt erstellen
- Verknüpfung einer Endpunktgruppe für Spiegelungen ändern oder löschen
- Details einer Verknüpfung der Spiegelungs-Endpunktgruppe ansehen
- Alle in einem Projekt konfigurierten Endpunktgruppen-Verknüpfungen für Spiegelungen ansehen
In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.
| Funktion | Erforderliche Rolle |
|---|---|
| Verknüpfung der Spiegelungs-Endpunktgruppe erstellen |
Rolle „Administrator für Spiegelungs-Endpunkt“ ( Rolle „Mirroring Endpoint User“ ( |
| Endpunktgruppenverknüpfungen für Spiegelungen ändern (aktualisieren oder löschen) | Rolle „Mirroring Endpoint Admin“ (roles/networksecurity.mirroringEndpointAdmin) für das Projekt, in dem sich das VPC-Netzwerk befindet.
|
| Details zur Spiegelungsendpunktgruppenverknüpfung in einem Projekt ansehen | Eine der folgenden Rollen:
|
| Alle Verknüpfungen von Endpunktgruppen für Spiegelungen in einem Projekt ansehen | Eine der folgenden Rollen:
|
Kontingente
Informationen zu Kontingenten für Spiegelungsendpunktgruppen finden Sie unter Kontingente und Limits.
Nächste Schritte
- Übersicht über die Integration für die Netzwerksicherheit
- Übersicht über die Out-of-Band-Integration
- Out-of-Band-Integration überwachen