端点组是一种使用方资源,用于引用提供方部署组。本页面详细介绍了镜像端点组及其功能。
镜像端点组
我们建议您在安全管理员拥有的项目中创建镜像端点组。如需创建镜像端点组关联,安全管理员必须将 Mirroring Endpoint Admin (roles/networksecurity.mirroringAdmin) 和 Mirroring Endpoint Network Admin (roles/networksecurity.mirroringEndpointNetworkAdmin) 角色分配给项目或网络管理员。
如需详细了解镜像端点组关联,请参阅镜像端点组关联。
规格
- 镜像端点组是在全局级层创建的项目级资源。
- Network Security Integration 使用数据包镜像技术将 Virtual Private Cloud (VPC) 网络中 Google Cloud 工作负载的流量镜像到镜像端点组。
- 仅当镜像规则配置为应用于此流量且网络与镜像端点组相关联时,安全配置文件才会将 VPC 网络中的工作负载流量重定向到镜像端点组。
- 镜像规则会为重定向到镜像端点组以进行深度数据包检查的每个数据包添加 VPC 网络标识符。如果您有多个 VPC 网络且其 IP 地址范围有重叠,此网络标识符有助于确保每个重定向的数据包都与其 VPC 网络正确关联。
- 您可以创建全局镜像端点组,并将其与一个或多个 VPC 网络相关联,以监控工作负载。您可以使用镜像端点组关联将镜像端点组关联到 VPC 网络。
- 仅当没有 VPC 网络与镜像端点组关联时,您才能删除该镜像端点组。
镜像端点组关联
镜像端点组关联是一种项目级资源。镜像端点组关联可将镜像端点组与 VPC 网络相关联,以使其流量符合检查条件。 关联镜像端点组后,任何符合镜像规则的流量都会被复制并发送到关联的镜像部署组。如需详细了解如何创建和管理镜像端点组关联,请参阅创建和管理镜像端点组关联。
Identity and Access Management 角色
Identity and Access Management (IAM) 角色控制以下管理镜像端点组的操作:
- 在项目中创建镜像端点组
- 修改或删除镜像端点组
- 查看镜像端点组的详细信息
- 查看在项目中配置的所有镜像端点组
下表介绍了每个步骤所需的角色。
| 特性 | 必要角色 |
|---|---|
| 创建新的镜像端点组 | 创建镜像端点组的项目的“镜像端点管理员”角色 (roles/networksecurity.mirroringEndpointAdmin)。 |
| 修改现有镜像端点组 | 项目的 Mirroring Endpoint Admin 角色 (roles/networksecurity.mirroringEndpointAdmin)。 |
| 查看项目中镜像端点组的详细信息 | 拥有项目的以下任一角色:
|
| 查看项目中的所有镜像端点组 | 拥有项目的以下任一角色:
|
IAM 角色控制镜像端点组关联的以下操作:
- 在项目中创建镜像端点组关联
- 修改或删除镜像端点组关联
- 查看镜像端点组关联的详细信息
- 查看在项目中配置的所有镜像端点组关联
下表介绍了每个步骤所需的角色。
| 特性 | 必要角色 |
|---|---|
| 创建镜像端点组关联 |
创建镜像端点组关联的项目的镜像端点管理员角色 ( 项目的镜像端点用户角色 ( |
| 修改(更新或删除)镜像端点组关联 | VPC 网络所在项目的镜像端点管理员角色 (roles/networksecurity.mirroringEndpointAdmin)。
|
| 查看项目中镜像端点组关联的详细信息 | 拥有以下任一角色:
|
| 查看项目中的所有镜像端点组关联 | 拥有以下任一角色:
|
配额
如需查看与镜像端点组关联的配额,请参阅配额和限制。