Configurer les services client

Cette page explique les étapes que vous, en tant que client de service, devez suivre pour envoyer du trafic aux services d'inspection de paquets d'un producteur.

Avant de commencer

  1. Connectez-vous à votre Google Cloud compte. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $de crédits sans frais pour exécuter, tester et déployer des charges de travail.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. Assurez-vous de disposer des rôles Identity and Access Management (IAM) suivants sur votre projet :

  7. Activez les API Compute Engine et Network Security.

    Rôles requis pour activer les API

    Pour activer les API, vous avez besoin du rôle IAM Administrateur d'utilisation du service (roles/serviceusage.serviceUsageAdmin), qui contient l'autorisation serviceusage.services.enable. Découvrez comment attribuer des rôles.

    Activer les API

  8. Installez Google Cloud CLI. Pour en savoir plus, consultez la présentation de gcloud CLI.

    Remarque : Si vous n'avez pas encore utilisé Google Cloud CLI, initialisez votre répertoire gcloud CLI en exécutant la gcloud init commande.

  9. Pour vous connecter à un producteur, obtenez les informations suivantes :
    • Nom du groupe de déploiement d'interception.
    • Liste des zones où le groupe de déploiement d'interception est actif.
    • Rôle Utilisateur de déploiement d'interception (roles/networksecurity.interceptDeploymentUser) sur le projet du producteur.

Préparer votre réseau

Pour autoriser un ou plusieurs réseaux VPC à envoyer du trafic aux services d'inspection de paquets d'un producteur, procédez comme suit :

  1. Identifiez les réseaux VPC et définissez l'ordre d'application des stratégies de pare-feu.

    Identifiez les réseaux VPC qui souhaitent utiliser l'offre d'interception de paquets d'un producteur. Une fois les réseaux identifiés, définissez l'ordre d'application des stratégies et des règles de pare-feu de chaque réseau sur BEFORE_CLASSIC_FIREWALL.

    L'ordre d'application BEFORE_CLASSIC_FIREWALL garantit que les règles de stratégie de pare-feu hiérarchiques et globales, que vous utiliserez pour intercepter le trafic, sont évaluées avant les règles de pare-feu VPC. Si vous utilisez l'ordre par défaut AFTER_CLASSIC_FIREWALL, les règles de pare-feu VPC sont prioritaires et votre trafic peut être abandonné avant de pouvoir être intercepté pour inspection.

  2. Créez des groupes d'instances gérés ou non gérés zonaux contenant vos VM.

    Nous vous recommandons d'utiliser des groupes d'instances gérés, si possible. Si vous choisissez des groupes d'instances gérés, vous devez utiliser des groupes d'instances gérés zonaux. Pour en savoir plus, consultez la section Créer un MIG dans une seule zone.

Configurer les ressources intrabandes

Créez les ressources suivantes pour utiliser les services d'inspection de paquets du producteur :

  1. Créez un groupe de points de terminaison d'interception et une association de groupe de points de terminaison d'interception association dans un projet. Pour en savoir plus, consultez la section Créer et gérer des groupes de points de terminaison d'interception.

    Un client utilise un groupe de points de terminaison d'interception et une association de groupe de points de terminaison d'interception pour sélectionner une offre d'interception de paquets d'un producteur à utiliser dans un ou plusieurs réseaux VPC clients.

    Lorsque vous configurez le groupe de points de terminaison d'interception et l'association de groupe de points de terminaison d'interception, tenez compte des points suivants :

    • Les réseaux VPC clients et leurs associations de groupes de points de terminaison d'interception correspondantes doivent se trouver dans le même projet.
    • Un groupe de points de terminaison d'interception référencé par une association de groupe de points de terminaison peut se trouver dans n'importe quel projet de l'organisation du client.

  2. Créez un profil de sécurité et un groupe de profils de sécurité dans l'organisation. Pour en savoir plus sur la création d'un profil de sécurité d'interception personnalisé, consultez la section Créer un profil de sécurité d'interception personnalisé et Créer et gérer des groupes de profils de sécurité.

    Un profil de sécurité et un groupe de profils de sécurité vous permettent d'utiliser une offre d'interception de paquets d'un producteur dans les règles d'une stratégie de pare-feu hiérarchique ou d'une stratégie de pare-feu réseau au niveau mondial. Les règles d'une stratégie de pare-feu font référence au groupe de profils de sécurité et utilisent l'action apply_security_profile_group pour envoyer des paquets au service d'inspection de paquets d'un producteur.

  3. Configurez une stratégie de pare-feu et ajoutez des règles de pare-feu pour diriger le trafic vers l'inspection de paquets. Pour en savoir plus, consultez la section Créer et gérer des règles de pare-feu.

    Les règles qui dirigent le trafic vers l'inspection de paquets doivent présenter toutes les caractéristiques suivantes :

    • L' action de la règle de stratégie de pare-feu doit être apply_security_profile_group.

    • La règle de stratégie de pare-feu doit faire référence à un groupe de profils de sécurité contenant le profil de sécurité que vous avez configuré à l'étape précédente.

      Le profil de sécurité doit faire référence au même groupe de points de terminaison d'interception que celui associé aux réseaux VPC auxquels la règle doit s'appliquer.

    • La stratégie de pare-feu contenant la règle doit être associée aux réseaux VPC auxquels la règle doit s'appliquer. La méthode de création de cette association dépend du type de stratégie :

      • Si la règle se trouve dans une stratégie de pare-feu réseau au niveau mondial, cette stratégie doit être associée aux réseaux VPC auxquels la règle doit s'appliquer.

      • Si la règle se trouve dans une stratégie de pare-feu réseau hiérarchique, la stratégie de pare-feu doit être associée à un dossier ou à l'organisation contenant les réseaux VPC auxquels la règle doit s'appliquer. De plus, si la cible de la règle est une ressource réseau, elle doit inclure les réseaux VPC auxquels la règle doit s'appliquer.

      Pour en savoir plus sur les paramètres des règles de pare-feu, consultez la section Composants des règles de stratégie de pare-feu.

  4. Associez la stratégie de pare-feu aux réseaux VPC qui utilisent l'inspection de paquets du producteur.

    Pour en savoir plus, consultez la section Associer une stratégie de pare-feu réseau.

Une fois que vous avez associé la stratégie de pare-feu et configuré les règles de pare-feu, le trafic réseau est redirigé vers le groupe de déploiement d'interception du producteur.

Étape suivante