Menyiapkan layanan konsumen

Halaman ini memberikan detail tentang langkah-langkah yang harus Anda lakukan sebagai konsumen layanan untuk mengirimkan traffic ke layanan inspeksi paket produsen.

Sebelum memulai

Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

1. Pastikan Anda memiliki peran Identity and Access Management (IAM) berikut di project Anda:
   • Untuk grup profil keamanan dan profil keamanan, Anda memerlukan peran Admin Profil Keamanan (networksecurity.securityProfileAdmin) di organisasi.
   • Untuk pembuatan jaringan sisi konsumen baru, peran Compute Network Admin (roles/compute.networkAdmin) di project.
   • Untuk mencegat resource, Anda memerlukan peran Intercept Endpoint Admin (roles/networksecurity.interceptEndpointAdmin) di project Anda.

2. Aktifkan Compute Engine API dan Network Security API.

   Peran yang diperlukan untuk mengaktifkan API

   Untuk mengaktifkan API, Anda memerlukan peran IAM Service Usage Admin (roles/serviceusage.serviceUsageAdmin), yang berisi izin serviceusage.services.enable. Pelajari cara memberikan peran.

   Aktifkan API

3. Instal Google Cloud CLI. Untuk mengetahui informasi selengkapnya, lihat ringkasan gcloud CLI.

   Catatan: Jika Anda belum pernah menjalankan Google Cloud CLI sebelumnya, lakukan inisialisasi direktori gcloud CLI dengan menjalankan perintah gcloud init.

4. Untuk terhubung ke produser, dapatkan detail berikut:
   • Nama grup penayangan iklan intersep.
   • Daftar zona tempat grup deployment pencegat aktif.
   • Peran Intercept Deployment User (roles/networksecurity.interceptDeploymentUser) di project produsen.

Menyiapkan jaringan

Untuk mengizinkan satu atau beberapa jaringan VPC mengirim traffic ke layanan inspeksi paket produsen, lakukan hal berikut:

1. Mengidentifikasi jaringan VPC, dan menetapkan urutan penerapan kebijakan firewall.

   Identifikasi jaringan VPC yang ingin menggunakan penawaran pencegatan paket produsen. Setelah jaringan diidentifikasi, tetapkan urutan penerapan aturan dan kebijakan firewall setiap jaringan ke BEFORE_CLASSIC_FIREWALL.

   Urutan penerapan BEFORE_CLASSIC_FIREWALL memastikan bahwa aturan kebijakan firewall hierarkis dan global—yang akan Anda gunakan untuk mencegat traffic—dievaluasi sebelum aturan firewall VPC. Jika Anda menggunakan urutan AFTER_CLASSIC_FIREWALL default, aturan firewall VPC akan diprioritaskan dan traffic Anda mungkin akan dihentikan sebelum dapat dicegat untuk diperiksa.

2. Buat grup instance terkelola zonal atau grup instance tidak terkelola zonal yang berisi VM Anda.

   Sebaiknya gunakan grup instance terkelola, jika memungkinkan. Jika memilih grup instance terkelola, Anda harus menggunakan grup instance terkelola menurut zona. Untuk mengetahui informasi selengkapnya, lihat Membuat MIG dalam satu zona.

Mengonfigurasi resource dalam band

Buat resource berikut untuk menggunakan layanan inspeksi paket produsen:

1. Buat grup endpoint pencegat dan asosiasi grup endpoint pencegat dalam project. Untuk mengetahui informasi selengkapnya, lihat Membuat dan mengelola grup endpoint pencegat.

   Konsumen menggunakan grup endpoint pencegat dan asosiasi grup endpoint pencegat untuk memilih penawaran pencegatan paket produsen yang akan digunakan dalam satu atau beberapa jaringan VPC konsumen.

   Saat mengonfigurasi grup endpoint pencegat dan asosiasi grup endpoint pencegat, pertimbangkan hal berikut:

   • Jaringan VPC konsumen dan asosiasi grup endpoint pencegat yang sesuai harus berada dalam project yang sama.
   • Grup endpoint pencegat yang dirujuk oleh asosiasi grup endpoint dapat berada di project mana pun dalam organisasi konsumen.

2. Buat profil keamanan dan grup profil keamanan di organisasi. Untuk mengetahui informasi selengkapnya tentang cara membuat profil keamanan pencegatan kustom, lihat Membuat profil keamanan pencegatan kustom dan Membuat dan mengelola grup profil keamanan.

   Profil keamanan dan grup profil keamanan memungkinkan Anda menggunakan penawaran pencegatan paket produsen dalam aturan kebijakan firewall hierarkis atau kebijakan firewall jaringan global. Aturan dalam kebijakan firewall mereferensikan grup profil keamanan dan menggunakan tindakan apply_security_profile_group untuk mengirim paket ke layanan inspeksi paket produsen.

3. Konfigurasi kebijakan firewall dan tambahkan aturan firewall untuk mengarahkan traffic untuk inspeksi paket. Untuk mengetahui informasi selengkapnya, lihat Membuat dan mengelola aturan firewall.

   Aturan yang mengarahkan traffic ke pemeriksaan paket harus memiliki semua karakteristik berikut:

   • Tindakan aturan kebijakan firewall harus berupa apply_security_profile_group.

   • Aturan kebijakan firewall harus mereferensikan grup profil keamanan yang berisi profil keamanan yang Anda konfigurasi pada langkah sebelumnya.

     Profil keamanan harus mereferensikan grup endpoint pencegat yang sama yang dikaitkan dengan jaringan VPC tempat aturan perlu diterapkan.

   • Kebijakan firewall yang berisi aturan harus dikaitkan dengan jaringan VPC tempat aturan perlu diterapkan. Metode untuk membuat asosiasi ini bergantung pada jenis kebijakan:

     • Jika aturan berada dalam kebijakan firewall jaringan global, kebijakan tersebut harus dikaitkan dengan jaringan VPC yang akan menerapkan aturan tersebut.

     • Jika aturan berada dalam kebijakan firewall jaringan hierarkis, kebijakan firewall harus dikaitkan dengan folder atau organisasi yang berisi jaringan VPC yang harus menerapkan aturan tersebut. Selain itu, jika target aturan adalah resource jaringan, target harus menyertakan jaringan VPC yang perlu diterapkan aturan.

     Untuk mengetahui informasi selengkapnya tentang parameter aturan firewall, lihat Komponen aturan kebijakan firewall.

4. Kaitkan kebijakan firewall dengan jaringan VPC yang menggunakan inspeksi paket produsen.

   Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan firewall jaringan.

Setelah Anda mengaitkan kebijakan firewall dan mengonfigurasi aturan firewall, traffic jaringan akan dialihkan ke grup deployment pencegat produsen.

Langkah berikutnya

• Ringkasan grup dan asosiasi endpoint pencegat
• Membuat dan mengelola grup endpoint pencegat
• Membuat dan mengelola asosiasi grup endpoint pencegat