Verbraucherdienste einrichten

Auf dieser Seite wird beschrieben, welche Schritte Sie als Dienstnutzer ausführen müssen, um Traffic an die Paketprüfdienste eines Diensterstellers zu senden.

Hinweis

  1. Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. Sie benötigen die folgenden IAM-Rollen (Identity and Access Management) für Ihr Projekt:

  7. Aktivieren Sie die Compute Engine API und die Network Security API.

    Rollen, die zum Aktivieren von APIs erforderlich sind

    Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Weitere Informationen zum Zuweisen von Rollen

    APIs aktivieren

  8. Installieren Sie die Google Cloud CLI. Weitere Informationen finden Sie in der Übersicht über die gcloud CLI.

    Hinweis: Wenn Sie die Google Cloud CLI noch nicht ausgeführt haben, initialisieren Sie Ihr gcloud CLI-Verzeichnis mit dem gcloud init-Befehl.

  9. Um eine Verbindung zu einem Producer herzustellen, benötigen Sie die folgenden Details:
    • Der Name der Abfangbereitstellungsgruppe.
    • Die Liste der Zonen, in denen die Abfangbereitstellungsgruppe aktiv ist.
    • Die Rolle „Intercept Deployment User“ (roles/networksecurity.interceptDeploymentUser) für das Projekt des Produzenten.

Netzwerk vorbereiten

So aktivieren Sie ein oder mehrere VPC-Netzwerke, um Traffic an die Paketprüfdienste eines Produzenten zu senden:

  1. VPC-Netzwerke identifizieren und die Reihenfolge für die Erzwingung von Firewallrichtlinien festlegen.

    Identifizieren Sie die VPC-Netzwerke, die das Angebot zum Abfangen von Paketen eines Producers nutzen möchten. Nachdem die Netzwerke identifiziert wurden, legen Sie die Firewallrichtlinie und die Reihenfolge der Regeldurchsetzung jedes Netzwerks auf BEFORE_CLASSIC_FIREWALL fest.

    Die BEFORE_CLASSIC_FIREWALL-Reihenfolge der Erzwingung sorgt dafür, dass hierarchische und globale Firewallrichtlinienregeln, mit denen Sie Traffic abfangen, vor VPC-Firewallregeln ausgewertet werden. Wenn Sie die Standardreihenfolge AFTER_CLASSIC_FIREWALL verwenden, haben VPC-Firewallregeln Vorrang und Ihr Traffic wird möglicherweise verworfen, bevor er zur Überprüfung abgefangen werden kann.

  2. Erstellen Sie zonale verwaltete oder zonale nicht verwaltete Instanzgruppen, die Ihre VMs enthalten.

    Wir empfehlen, nach Möglichkeit verwaltete Instanzgruppen zu verwenden. Wenn Sie verwaltete Instanzgruppen auswählen, müssen Sie zonale verwaltete Instanzgruppen verwenden. Weitere Informationen finden Sie unter MIG in einer einzelnen Zone erstellen.

In-Band-Ressourcen konfigurieren

Erstellen Sie die folgenden Ressourcen, um die Paketprüfdienste des Produzenten zu verwenden:

  1. Abfangendpunktgruppe und Abfangendpunktgruppenverknüpfung in einem Projekt erstellen. Weitere Informationen finden Sie unter Intercept-Endpunktgruppen erstellen und verwalten.

    Ein Nutzer verwendet eine Intercept-Endpunktgruppe und eine Intercept-Endpunktgruppenzuordnung, um das Angebot eines Erstellers für das Abfangen von Paketen auszuwählen, das in einem oder mehreren VPC-Netzwerken des Nutzers verwendet werden soll.

    Beachten Sie bei der Konfiguration der Abfangendpunktgruppe und der Verknüpfung der Abfangendpunktgruppe Folgendes:

    • Nutzer-VPC-Netzwerke und ihre entsprechenden Zuordnungen von Abfangendpunktgruppen müssen sich im selben Projekt befinden.
    • Eine von einer Endpunktgruppenverknüpfung referenzierte Intercept-Endpunktgruppe kann sich in einem beliebigen Projekt der Organisation des Nutzers befinden.

  2. Erstellen Sie ein Sicherheitsprofil und eine Sicherheitsprofilgruppe in der Organisation. Weitere Informationen zum Erstellen eines benutzerdefinierten Sicherheitsprofils für das Abfangen finden Sie unter Benutzerdefiniertes Sicherheitsprofil für das Abfangen erstellen und Sicherheitsprofilgruppen erstellen und verwalten.

    Mit einem Sicherheitsprofil und einer Sicherheitsprofilgruppe können Sie das Paketabfangangebot eines Producers in Regeln einer hierarchischen Firewallrichtlinie oder einer globalen Netzwerk-Firewallrichtlinie verwenden. Regeln in einer Firewallrichtlinie verweisen auf die Sicherheitsprofilgruppe und verwenden die Aktion apply_security_profile_group, um Pakete an den Paketprüfdienst eines Producers zu senden.

  3. Konfigurieren Sie eine Firewallrichtlinie und fügen Sie Firewallregeln hinzu, um den Traffic für die Paketprüfung weiterzuleiten. Weitere Informationen finden Sie unter Firewallregeln erstellen und verwalten.

    Regeln, die Traffic zur Paketprüfung weiterleiten, müssen alle folgenden Eigenschaften haben:

    • Die Aktion der Firewallrichtlinienregel muss apply_security_profile_group sein.

    • In der Firewallrichtlinienregel muss auf eine Sicherheitsprofilgruppe verwiesen werden, die das im vorherigen Schritt konfigurierte Sicherheitsprofil enthält.

      Das Sicherheitsprofil muss auf dieselbe Abfangendpunktgruppe verweisen, die den VPC-Netzwerken zugeordnet ist, auf die die Regel angewendet werden muss.

    • Die Firewallrichtlinie, die die Regel enthält, muss mit den VPC-Netzwerken verknüpft sein, auf die die Regel angewendet werden soll. Die Methode zum Erstellen dieser Verknüpfung hängt vom Richtlinientyp ab:

      • Wenn sich die Regel in einer globalen Netzwerk-Firewallrichtlinie befindet, muss diese Richtlinie mit den VPC-Netzwerken verknüpft sein, auf die die Regel angewendet werden soll.

      • Wenn sich die Regel in einer hierarchischen Netzwerk-Firewallrichtlinie befindet, muss die Firewallrichtlinie mit einem Ordner oder der Organisation verknüpft sein, die die VPC-Netzwerke enthält, auf die die Regel angewendet werden muss. Wenn das Ziel der Regel eine Netzwerkressource ist, muss es außerdem die VPC-Netzwerke enthalten, auf die die Regel angewendet werden soll.

      Weitere Informationen zu den Parametern von Firewallregeln finden Sie unter Komponenten von Firewallrichtlinienregeln.

  4. Verknüpfen Sie die Firewallrichtlinie mit den VPC-Netzwerken, in denen die Paketprüfung des Producers verwendet wird.

    Weitere Informationen finden Sie unter Netzwerk-Firewallrichtlinie zuordnen.

Nachdem Sie die Firewallrichtlinie zugeordnet und die Firewallregeln konfiguriert haben, wird der Netzwerk-Traffic an die Abfangbereitstellungsgruppe des Diensterstellers weitergeleitet.

Nächste Schritte