本页面详细介绍了作为服务使用方,您必须执行哪些步骤才能将流量发送到提供方的数据包检查服务。
准备工作
- 登录您的 Google Cloud 账号。如果您是 Google Cloud新手, 请创建一个账号来评估我们的产品在 实际场景中的表现。新客户还可获享 $300 赠金,用于 运行、测试和部署工作负载。
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
- 确保您在项目中拥有以下 Identity and Access Management (IAM) 角色:
- 对于安全配置文件组和安全配置文件,拥有组织的
Security Profile Admin 角色
(
networksecurity.securityProfileAdmin)。 - 对于创建新的使用方端网络,拥有项目的
Compute Network Admin 角色
(
roles/compute.networkAdmin) 。 - 对于拦截资源,拥有项目的
Intercept Endpoint Admin 角色
(
roles/networksecurity.interceptEndpointAdmin) 。
- 对于安全配置文件组和安全配置文件,拥有组织的
Security Profile Admin 角色
(
启用 Compute Engine 和 Network Security API。
启用 API 所需的角色
如需启用 API,您需要拥有 Service Usage Admin IAM 角色 (
roles/serviceusage.serviceUsageAdmin),该角色包含serviceusage.services.enable权限。了解如何授予 角色。- 安装 Google Cloud CLI。如需了解详情,
请参阅 gcloud CLI 概览。
注意:如果您之前未运行过 Google Cloud CLI,请运行
gcloud init命令来初始化 gcloud CLI 目录。 - 如需连接到提供方,请获取以下详细信息:
- 拦截部署组的名称。
- 拦截部署组处于活跃状态的可用区列表。
- 拥有提供方项目的 Intercept Deployment User 角色
(
roles/networksecurity.interceptDeploymentUser)。
准备您的网络
如需允许一个或多个 VPC 网络将流量发送到提供方的数据包检查服务,请执行以下操作:
确定 VPC 网络,并设置防火墙政策强制执行顺序。
确定要使用提供方的数据包拦截服务的 VPC 网络。确定网络后,将每个网络的防火墙政策和 规则强制执行 顺序 设置为
BEFORE_CLASSIC_FIREWALL。BEFORE_CLASSIC_FIREWALL强制执行顺序可确保在 VPC 防火墙规则之前评估分层防火墙政策规则和全局防火墙政策规则(您将使用这些规则来拦截流量)。如果您使用默认的AFTER_CLASSIC_FIREWALL顺序,VPC 防火墙规则将优先,并且您的流量可能会在被拦截以进行检查之前被丢弃。创建包含虚拟机的可用区级代管式或可用区级非代管式实例组。
我们建议您尽可能使用代管式实例组。如果您选择代管式实例组,则必须使用可用区级代管式实例组。如需了解详情,请参阅在单个可用区中创建 MIG。
配置带内资源
创建以下资源以使用提供方的数据包检查服务:
在项目中创建拦截端点组和拦截端点组 关联 。如需了解详情,请参阅创建和管理拦截端点组。
使用方使用拦截端点组和拦截端点组关联来选择要在一个或多个使用方 VPC 网络中使用的提供方的数据包拦截服务。
配置拦截端点组和拦截端点组关联时,请考虑以下事项:
- 使用方 VPC 网络及其对应的拦截端点组关联必须位于同一项目中。
- 端点组关联引用的拦截端点组可以位于使用方组织的任何项目中。
在组织中创建安全 配置文件 和安全配置文件 组 。如需详细了解如何创建自定义拦截安全配置文件,请参阅创建自定义拦截安全配置文件以及创建和管理安全配置文件组。
借助安全配置文件和安全配置文件组,您可以在分层防火墙政策或全局网络防火墙政策的规则中使用提供方的数据包拦截服务。防火墙政策中的规则引用安全配置文件组,并使用
apply_security_profile_group操作将数据包发送到提供方的数据包检查服务。配置防火墙政策并添加防火墙规则,以将流量定向到数据包检查。如需了解详情,请参阅创建和管理防火墙规则。
将流量定向到数据包检查的规则必须具有以下所有特征:
防火墙政策规则的 操作 必须是
apply_security_profile_group。防火墙政策规则必须引用包含您在上一步中配置的安全配置文件的安全配置文件组。
安全配置文件必须引用与规则需要应用到的 VPC 网络关联的同一拦截端点组。
包含该规则的防火墙政策必须与规则需要应用到的 VPC 网络相关联。创建此关联的方法取决于政策的类型:
如果规则位于全局网络防火墙政策中,则该政策必须与规则需要应用到的 VPC 网络相关联。
如果规则位于分层网络防火墙政策中,则防火墙政策必须与包含规则需要应用到的 VPC 网络的文件夹或组织相关联。 此外,如果规则的目标是网络资源,则目标必须包含规则需要应用到的 VPC 网络。
如需详细了解防火墙规则参数,请参阅防火墙政策规则组件。
将防火墙政策与使用提供方的数据包检查的 VPC 网络相关联。
如需了解详情,请参阅关联网络防火墙政策。
关联防火墙政策并配置防火墙规则后,网络流量会重定向到提供方的拦截部署组。