本頁面詳細說明服務用戶必須採取的步驟,才能將流量傳送至生產者的封包檢查服務。
事前準備
- 登入 Google Cloud 帳戶。如果您是 Google Cloud新手,歡迎 建立帳戶,親自評估產品在實際工作環境中的成效。新客戶還能獲得價值 $300 美元的免費抵免額,可用於執行、測試及部署工作負載。
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
- 確認您在專案中具備下列 Identity and Access Management (IAM) 角色:
- 如要使用安全性設定檔群組和安全性設定檔,您必須具備組織的安全性設定檔管理員角色 (
networksecurity.securityProfileAdmin)。 - 如要建立新的消費者端網路,您必須在專案中擁有 Compute 網路管理員角色 (
roles/compute.networkAdmin)。 - 如要使用攔截資源,您必須在專案中具備攔截端點管理員角色 (
roles/networksecurity.interceptEndpointAdmin)。
- 如要使用安全性設定檔群組和安全性設定檔,您必須具備組織的安全性設定檔管理員角色 (
啟用 Compute Engine 和 Network Security API。
啟用 API 時所需的角色
如要啟用 API,您需要服務使用情形管理員 IAM 角色 (
roles/serviceusage.serviceUsageAdmin),其中包含serviceusage.services.enable權限。瞭解如何授予角色。- 安裝 Google Cloud CLI。詳情請參閱 gcloud CLI 總覽。
注意:如果您先前沒有執行過 Google Cloud CLI,請執行
gcloud init指令,將 gcloud CLI 目錄初始化。 - 如要與製作人連線,請取得下列詳細資料:
- 攔截部署項目群組的名稱。
- 攔截部署項目群組啟用的區域清單。
- 供應者專案的攔截部署作業使用者角色 (
roles/networksecurity.interceptDeploymentUser)。
預先設定好您的網路
如要讓一或多個虛擬私有雲網路將流量傳送至生產者的封包檢查服務,請按照下列步驟操作:
找出虛擬私有雲網路,並設定防火牆政策強制執行順序。
找出要使用生產端封包攔截服務的虛擬私有雲網路。找出網路後,將每個網路的防火牆政策和規則強制執行順序設為
BEFORE_CLASSIC_FIREWALL。BEFORE_CLASSIC_FIREWALL強制執行順序可確保系統在評估虛擬私有雲防火牆規則之前,先評估您用來攔截流量的階層式和全域防火牆政策規則。如果您使用預設AFTER_CLASSIC_FIREWALL順序,虛擬私有雲防火牆規則的優先順序較高,流量可能會在遭到攔截檢查前遭到捨棄。建立含有 VM 的區域代管或非代管執行個體群組。
建議您盡可能使用受管理執行個體群組。如果您選擇代管執行個體群組,就必須使用區域代管執行個體群組。詳情請參閱在單一可用區中建立 MIG。
設定頻內資源
建立下列資源,使用生產者的封包檢查服務:
在專案中建立攔截端點群組和攔截端點群組關聯 。詳情請參閱「建立及管理攔截端點群組」。
消費者會使用截取端點群組和截取端點群組關聯,選取要在一個或多個消費者虛擬私有雲網路中使用的生產者封包截取服務。
設定攔截端點群組和攔截端點群組關聯時,請注意下列事項:
- 用戶虛擬私有雲網路和對應的攔截端點群組關聯必須位於同一個專案。
- 端點群組關聯參照的攔截端點群組,可位於消費者機構的任何專案中。
在機構中建立安全性設定檔和安全性設定檔群組。如要進一步瞭解如何建立自訂攔截安全性設定檔,請參閱「建立自訂攔截安全性設定檔」和「建立及管理安全性設定檔群組」。
安全性設定檔和安全性設定檔群組可讓您在階層式防火牆政策或全域網路防火牆政策的規則中,使用生產者的封包攔截服務。防火牆政策中的規則會參照安全性設定檔群組,並使用
apply_security_profile_group動作將封包傳送至生產者的封包檢查服務。設定防火牆政策並新增防火牆規則,將流量導向封包檢查。詳情請參閱「建立及管理防火牆規則」。
將流量導向封包檢查的規則必須具備下列所有特徵:
防火牆政策規則的動作必須為
apply_security_profile_group。防火牆政策規則必須參照安全性設定檔群組,其中包含您在上一步設定的安全性設定檔。
安全性設定檔必須參照與虛擬私有雲網路相關聯的相同攔截端點群組,規則才會套用至該網路。
含有規則的防火牆政策必須與規則適用的虛擬私有雲網路建立關聯。建立這類關聯的方法取決於政策類型:
如果規則位於全域網路防火牆政策中,該政策必須與規則需要套用的虛擬私有雲網路建立關聯。
如果規則位於階層式網路防火牆政策中,防火牆政策必須與包含規則適用虛擬私有雲網路的資料夾或機構建立關聯。此外,如果規則的目標是網路資源,則目標必須包含規則需要套用的虛擬私有雲網路。
如要進一步瞭解防火牆規則參數,請參閱「防火牆政策規則元件」。
將防火牆政策與使用生產端封包檢查的虛擬私有雲網路建立關聯。
詳情請參閱「建立及連結網路防火牆政策」。
連結防火牆政策並設定防火牆規則後,網路流量會重新導向至生產者的攔截部署群組。