Configura los servicios de consumidor

En esta página, se proporcionan detalles sobre los pasos que debes seguir como consumidor de servicios para enviar tráfico a los servicios de inspección de paquetes de un productor.

Antes de comenzar

  1. Accede a tu cuenta de Google Cloud . Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. Asegúrate de tener los siguientes roles de Identity and Access Management (IAM) en tu proyecto:

  7. Habilita las APIs de Compute Engine y Network Security.

    Roles necesarios para habilitar las APIs

    Para habilitar las APIs, necesitas el rol de IAM de administrador de Service Usage (roles/serviceusage.serviceUsageAdmin), que contiene el permiso serviceusage.services.enable. Obtén más información para otorgar roles.

    Habilitar las API

  8. Instala Google Cloud CLI. Para obtener más información, consulta la descripción general de gcloud CLI.

    Nota: Si no ejecutaste Google Cloud CLI antes, ejecuta el comando gcloud init para inicializar el directorio de gcloud CLI.

  9. Para conectarte a un productor, obtén los siguientes detalles:
    • Es el nombre del grupo de implementación de intercepción.
    • Es la lista de zonas en las que está activo el grupo de implementación de intercepción.
    • El rol de usuario de interceptación de implementación (roles/networksecurity.interceptDeploymentUser) en el proyecto del productor

Prepara tu red

Para permitir que una o más redes de VPC envíen tráfico a los servicios de inspección de paquetes de un productor, haz lo siguiente:

  1. Identifica las redes de VPC y establece el orden de aplicación de la política de firewall.

    Identifica las redes de VPC que desean usar la oferta de interceptación de paquetes de un productor. Después de identificar las redes, establece el orden de aplicación de la política y la regla de firewall de cada red en BEFORE_CLASSIC_FIREWALL.

    El orden de aplicación de BEFORE_CLASSIC_FIREWALL garantiza que las reglas de políticas de firewall jerárquicas y globales (que usarás para interceptar el tráfico) se evalúen antes que las reglas de firewall de VPC. Si usas el orden predeterminado AFTER_CLASSIC_FIREWALL, las reglas de firewall de VPC tienen prioridad y es posible que se descarte tu tráfico antes de que se pueda interceptar para su inspección.

  2. Crea grupos de instancias zonales administrados o no administrados que contengan tus VMs.

    Si es posible, te recomendamos que uses grupos de instancias administrados. Si eliges grupos de instancias administrados, debes usar grupos de instancias administrados zonales. Para obtener más información, consulta Crea un MIG en una sola zona.

Configura recursos integrados

Crea los siguientes recursos para usar los servicios de inspección de paquetes del productor:

  1. Crea un grupo de extremos de intercepción y una asociación de grupo de extremos de intercepción en un proyecto. Para obtener más información, consulta Crea y administra grupos de extremos de interceptación.

    Un consumidor usa un grupo de extremos de interceptación y una asociación de grupo de extremos de interceptación para seleccionar una oferta de interceptación de paquetes de un productor que se usará en una o más redes de VPC del consumidor.

    Cuando configures el grupo de extremos de intercepción y la asociación del grupo de extremos de intercepción, ten en cuenta lo siguiente:

    • Las redes de VPC del consumidor y sus asociaciones correspondientes con el grupo de extremos de interceptación deben estar en el mismo proyecto.
    • Un grupo de extremos de interceptación al que hace referencia una asociación de grupos de extremos se puede ubicar en cualquier proyecto de la organización del consumidor.

  2. Crea un perfil de seguridad y un grupo de perfiles de seguridad en la organización. Para obtener más información sobre cómo crear un perfil de seguridad de interceptación personalizado, consulta Crea un perfil de seguridad de interceptación personalizado y Crea y administra grupos de perfiles de seguridad.

    Un perfil de seguridad y un grupo de perfiles de seguridad te permiten usar la oferta de interceptación de paquetes de un productor en las reglas de una política de firewall jerárquica o una política de firewall de red global. Las reglas de una política de firewall hacen referencia al grupo de perfiles de seguridad y usan la acción apply_security_profile_group para enviar paquetes al servicio de inspección de paquetes de un productor.

  3. Configura una política de firewall y agrega reglas de firewall para dirigir el tráfico a la inspección de paquetes. Para obtener más información, consulta Crea y administra reglas de firewall.

    Las reglas que dirigen el tráfico a la inspección de paquetes deben tener todas las siguientes características:

    • La acción de la regla de política de firewall debe ser apply_security_profile_group.

    • La regla de política de firewall debe hacer referencia a un grupo de perfiles de seguridad que contenga el perfil de seguridad que configuraste en el paso anterior.

      El perfil de seguridad debe hacer referencia al mismo grupo de extremos de interceptación asociado con las redes de VPC a las que se debe aplicar la regla.

    • La política de firewall que contiene la regla debe estar asociada a las redes de VPC a las que se debe aplicar la regla. El método para crear esta asociación depende del tipo de política:

      • Si la regla está en una política de firewall de red global, esa política debe estar asociada con las redes de VPC a las que se debe aplicar la regla.

      • Si la regla se encuentra en una política de firewall de red jerárquica, la política de firewall debe estar asociada a una carpeta o a la organización que contiene las redes de VPC a las que se debe aplicar la regla. Además, si el destino de la regla es un recurso de red, debe incluir las redes de VPC a las que se debe aplicar la regla.

      Para obtener más información sobre los parámetros de las reglas de firewall, consulta Componentes de las reglas de políticas de firewall.

  4. Asocia la política de firewall a las redes de VPC que usan la inspección de paquetes del productor.

    Para obtener más información, consulta Asocia una política de firewall de red.

Después de asociar la política de firewall y configurar las reglas de firewall, el tráfico de red se redirecciona al grupo de implementación de interceptores del productor.

¿Qué sigue?