Configurar serviços de consumidor

Esta página fornece detalhes sobre as etapas que você, como consumidor de serviços, precisa seguir para enviar tráfego aos serviços de inspeção de pacotes de um produtor.

Antes de começar

Faça login na sua Google Cloud conta do. Se você começou a usar o Google Cloud, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US $300 em créditos para executar, testar e implantar cargas de trabalho.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

1. Verifique se você tem os seguintes papéis do Identity and Access Management (IAM) no seu projeto:
   • Para grupos de perfis de segurança e perfis de segurança, o papel de administrador de perfil de segurança (networksecurity.securityProfileAdmin) na organização.
   • Para a criação de novas redes do lado do consumidor, o papel de administrador de rede do Compute (roles/compute.networkAdmin) no projeto.
   • Para recursos de interceptação, o papel de administrador de endpoint de interceptação (roles/networksecurity.interceptEndpointAdmin) no seu projeto.

2. Ative as APIs Compute Engine e Network Security.

   Funções necessárias para ativar APIs

   Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin), que contém a permissão serviceusage.services.enable. Saiba como conceder papéis.

   Ativar as APIs

3. Instale a Google Cloud CLI. Para mais informações, consulte Visão geral da CLI gcloud.

   Observação: caso você ainda não tenha executado a Google Cloud CLI, inicialize o diretório da CLI gcloud executando o gcloud init comando.

4. Para se conectar a um produtor, receba os seguintes detalhes:
   • O nome do grupo de implantação de interceptação.
   • A lista de zonas em que o grupo de implantação de interceptação está ativo.
   • O papel de usuário de implantação de interceptação (roles/networksecurity.interceptDeploymentUser) no projeto do produtor.

Preparar sua rede

Para permitir que uma ou mais redes VPC enviem tráfego aos serviços de inspeção de pacotes de um produtor, faça o seguinte:

1. Identifique as redes VPC e defina a ordem de aplicação da política de firewall.

   Identifique as redes VPC que querem usar a oferta de interceptação de pacotes de um produtor. Depois que as redes forem identificadas, defina a política de firewall e ordem de aplicação de regras de cada rede como BEFORE_CLASSIC_FIREWALL.

   A ordem de aplicação BEFORE_CLASSIC_FIREWALL garante que as regras de política de firewall hierárquicas e globais, que você usará para interceptar o tráfego, sejam avaliadas antes das regras de firewall da VPC. Se você usar a ordem AFTER_CLASSIC_FIREWALL padrão, as regras de firewall da VPC terão precedência e o tráfego poderá ser descartado antes de ser interceptado para inspeção.

2. Crie grupos de instâncias gerenciadas ou não gerenciadas por zona que contenham suas VMs.

   Recomendamos o uso de grupos de instâncias gerenciadas, se possível. Se você escolher grupos de instâncias gerenciadas, use grupos de instâncias gerenciadas por zona. Para mais informações, consulte Criar um MIG em uma única zona.

Configurar recursos na banda

Crie os seguintes recursos para usar os serviços de inspeção de pacotes do produtor:

1. Crie um grupo de endpoints de interceptação e uma associação de grupo de endpoints de interceptação em um projeto. Para mais informações, consulte Criar e gerenciar grupos de endpoints de interceptação.

   Um consumidor usa o grupo de endpoints de interceptação e a associação de grupo de endpoints de interceptação para selecionar uma oferta de interceptação de pacotes de um produtor a ser usada em uma ou mais redes VPC do consumidor.

   Ao configurar o grupo de endpoints de interceptação e a associação de grupo de endpoints de interceptação, considere o seguinte:

   • As redes VPC do consumidor e as associações de grupo de endpoints de interceptação correspondentes precisam estar no mesmo projeto.
   • Um grupo de endpoints de interceptação referenciado por uma associação de grupo de endpoints pode estar localizado em qualquer projeto da organização do consumidor.

2. Crie um perfil de segurança e um grupo de perfis de segurança na organização. Para mais informações sobre como criar um perfil de segurança de interceptação personalizado, consulte Criar um perfil de segurança de interceptação personalizado e Criar e gerenciar grupos de perfis de segurança.

   Um perfil de segurança e um grupo de perfis de segurança permitem que você use uma oferta de interceptação de pacotes de um produtor em regras de uma política de firewall hierárquica ou de uma política de firewall de rede global. As regras em uma política de firewall fazem referência ao grupo de perfis de segurança e usam a ação apply_security_profile_group para enviar pacotes ao serviço de inspeção de pacotes de um produtor.

3. Configure uma política de firewall e adicione regras de firewall para direcionar o tráfego para inspeção de pacotes. Para mais informações, consulte Criar e gerenciar regras de firewall.

   As regras que direcionam o tráfego para inspeção de pacotes precisam ter todas as seguintes características:

   • A ação da regra da política de firewall precisa ser apply_security_profile_group.

   • A regra da política de firewall precisa fazer referência a um grupo de perfis de segurança que contenha o perfil de segurança configurado na etapa anterior.

     O perfil de segurança precisa fazer referência ao mesmo grupo de endpoints de interceptação associado às redes VPC a que a regra precisa ser aplicada.

   • A política de firewall que contém a regra precisa estar associada às redes VPC a que a regra precisa ser aplicada. O método para criar essa associação depende do tipo de política:

     • Se a regra estiver em uma política de firewall de rede global, essa política precisará estar associada às redes VPC a que a regra precisa ser aplicada.

     • Se a regra estiver em uma política de firewall de rede hierárquica, a política de firewall precisará estar associada a uma pasta ou à organização que contém as redes VPC a que a regra precisa ser aplicada. Além disso, se o destino da regra for um recurso de rede, ele precisará incluir as redes VPC a que a regra precisa ser aplicada.

     Para mais informações sobre os parâmetros de regra de firewall, consulte Componentes de regra de política de firewall.

4. Associe a política de firewall às redes VPC que usam a inspeção de pacotes do produtor.

   Para mais informações, consulte Associar política de firewall de rede.

Depois de associar a política de firewall e configurar as regras de firewall, o tráfego de rede será redirecionado para o grupo de implantação de interceptação do produtor.

A seguir

• Visão geral dos grupos de endpoints de interceptação e associações
• Criar e gerenciar grupos de endpoints de interceptação
• Criar e gerenciar associações de grupos de endpoints de interceptação