Questa pagina fornisce dettagli sui passaggi che tu, in qualità di consumer di servizi, devi intraprendere per inviare traffico ai servizi di ispezione dei pacchetti di un produttore.
Prima di iniziare
- Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
- Assicurati di disporre dei seguenti ruoli Identity and Access Management (IAM) nel tuo progetto:
- Per i gruppi di profili di sicurezza e il profilo di sicurezza, il
ruolo Amministratore del profilo di sicurezza
(
networksecurity.securityProfileAdmin) nell'organizzazione. - Per la creazione di nuove reti lato consumatore, il
ruolo Compute Network Admin
(
roles/compute.networkAdmin) sul progetto. - Per le risorse di intercettazione, il
ruolo Intercept Endpoint Admin
(
roles/networksecurity.interceptEndpointAdmin) nel progetto.
- Per i gruppi di profili di sicurezza e il profilo di sicurezza, il
ruolo Amministratore del profilo di sicurezza
(
Abilita le API Compute Engine e Network Security.
Ruoli richiesti per abilitare le API
Per abilitare le API, devi disporre del ruolo IAM Amministratore utilizzo dei servizi (
roles/serviceusage.serviceUsageAdmin), che include l'autorizzazioneserviceusage.services.enable. Scopri come concedere i ruoli.- Installa Google Cloud CLI. Per saperne di più,
consulta la panoramica di gcloud CLI.
Nota:se non hai mai eseguito Google Cloud CLI, inizializza la directory gcloud CLI eseguendo il comando
gcloud init. - Per connetterti a un produttore, recupera i seguenti dettagli:
- Il nome del gruppo di deployment di intercettazione.
- L'elenco delle zone in cui è attivo il gruppo di deployment di intercettazione.
- Il ruolo Utente di deployment intercettato
(
roles/networksecurity.interceptDeploymentUser) nel progetto del producer.
Preparare la rete
Per consentire a una o più reti VPC di inviare traffico ai servizi di ispezione dei pacchetti di un producer, procedi nel seguente modo:
Identifica le reti VPC e imposta l'ordine di applicazione delle policy del firewall.
Identifica le reti VPC che vogliono utilizzare l'offerta di intercettazione dei pacchetti di un producer. Dopo aver identificato le reti, imposta l'ordine di applicazione delle regole e dei criteri firewall di ogni rete su
BEFORE_CLASSIC_FIREWALL.L'ordine di applicazione
BEFORE_CLASSIC_FIREWALLgarantisce che le regole delle policy firewall gerarchiche e globali, che utilizzerai per intercettare il traffico, vengano valutate prima delle regole firewall VPC. Se utilizzi l'ordineAFTER_CLASSIC_FIREWALLpredefinito, le regole firewall VPC hanno la precedenza e il traffico potrebbe essere eliminato prima di poter essere intercettato per l'ispezione.Crea gruppi di istanze gestite o non gestite a livello di zona contenenti le tue VM.
Se possibile, ti consigliamo di utilizzare i gruppi di istanze gestite. Se scegli i gruppi di istanze gestite, devi utilizzare i gruppi di istanze gestite a livello di zona. Per saperne di più, consulta Crea un MIG in un'unica zona.
Configurare le risorse in banda
Crea le seguenti risorse per utilizzare i servizi di ispezione dei pacchetti del produttore:
Crea un gruppo di endpoint di intercettazione e un'associazione di gruppi di endpoint di intercettazione in un progetto. Per saperne di più, consulta Creare e gestire gruppi di endpoint di intercettazione.
Un consumer utilizza il gruppo di endpoint di intercettazione e l'associazione del gruppo di endpoint di intercettazione per selezionare l'offerta di intercettazione dei pacchetti di un producer da utilizzare in una o più reti VPC consumer.
Quando configuri il gruppo di endpoint di intercettazione e l'associazione del gruppo di endpoint di intercettazione, tieni presente quanto segue:
- Le reti VPC consumer e le relative associazioni di gruppi di endpoint di intercettazione devono trovarsi nello stesso progetto.
- Un gruppo di endpoint di intercettazione a cui fa riferimento un'associazione di gruppi di endpoint può trovarsi in qualsiasi progetto dell'organizzazione del consumer.
Crea un profilo di sicurezza e un gruppo di profili di sicurezza nell'organizzazione. Per saperne di più su come creare un profilo di sicurezza di intercettazione personalizzato, consulta Creare un profilo di sicurezza di intercettazione personalizzato e Creare e gestire gruppi di profili di sicurezza.
Un profilo di sicurezza e un gruppo di profili di sicurezza ti consentono di utilizzare l'offerta di intercettazione dei pacchetti di un produttore nelle regole di una policy del firewall gerarchico o di una policy del firewall di rete globale. Le regole di una norma firewall fanno riferimento al gruppo di profili di sicurezza e utilizzano l'azione
apply_security_profile_groupper inviare pacchetti a un servizio di ispezione dei pacchetti del produttore.Configura una policy firewall e aggiungi regole firewall per indirizzare il traffico per l'ispezione dei pacchetti. Per saperne di più, vedi Creare e gestire le regole firewall.
Le regole che indirizzano il traffico all'ispezione dei pacchetti devono avere tutte le caratteristiche seguenti:
L'azione della regola della policy del firewall deve essere
apply_security_profile_group.La regola della policy del firewall deve fare riferimento a un gruppo di profili di sicurezza contenente il profilo di sicurezza che hai configurato nel passaggio precedente.
Il profilo di sicurezza deve fare riferimento allo stesso gruppo di endpoint di intercettazione associato alle reti VPC a cui deve essere applicata la regola.
La policy del firewall che contiene la regola deve essere associata alle reti VPC a cui deve essere applicata la regola. Il metodo per creare questa associazione dipende dal tipo di criterio:
Se la regola si trova in un criterio firewall di rete globale, questo criterio deve essere associato alle reti VPC a cui deve essere applicata la regola.
Se la regola si trova in un criterio firewall di rete gerarchico, il criterio firewall deve essere associato a una cartella o all'organizzazione che contiene le reti VPC a cui deve essere applicata la regola. Inoltre, se la destinazione della regola è una risorsa di rete, la destinazione deve includere le reti VPC a cui deve essere applicata la regola.
Per ulteriori informazioni sui parametri delle regole firewall, consulta Componenti delle regole delle policy del firewall.
Associa la policy del firewall alle reti VPC che utilizzano l'ispezione dei pacchetti del produttore.
Per saperne di più, consulta Associa la policy del firewall di rete.
Dopo aver associato la policy del firewall e configurato le regole firewall, il traffico di rete viene reindirizzato al gruppo di deployment di intercettazione del produttore.
Passaggi successivi
- Panoramica dei gruppi di endpoint di intercettazione e delle associazioni
- Creare e gestire gruppi di endpoint di intercettazione
- Creare e gestire le associazioni di gruppi di endpoint di intercettazione