Une association de groupe de points de terminaison d'interception est une ressource globale qui associe le réseau cloud privé virtuel d'un consommateur à un groupe de points de terminaison d'interception pour l'inspection du trafic. Pour chaque réseau VPC nécessitant une inspection du trafic, vous créez une association de groupe de points de terminaison d'interception. Le réseau VPC est prêt pour l'inspection du trafic une fois que vous avez configuré le groupe de points de terminaison, l'association de groupe de points de terminaison et les règles de pare-feu pour rediriger le trafic.
Une fois que vous avez configuré le groupe de points de terminaison et l'association de groupe de points de terminaison, et que vous avez configuré les règles de pare-feu pour rediriger le trafic à inspecter, le réseau VPC est prêt pour l'inspection du trafic.
Cette page explique comment créer et gérer des associations de groupes de points de terminaison d'interception.
Avant de commencer
Activez l' API Compute Engine dans votre projet Google Cloud .
Activez l'API Network Security dans votre projet Google Cloud .
Installer gcloud CLI
Créez un réseau VPC et un sous-réseau.
Rôles
Pour créer, afficher ou supprimer des associations de groupes de points de terminaison d'interception, demandez à votre administrateur de vous accorder les rôles IAM (Identity and Access Management) nécessaires sur votre projet. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Pour vérifier la progression des opérations listées sur cette page, assurez-vous que votre rôle utilisateur dispose des rôles et autorisations suivants d'administrateur des points de terminaison d'interception (roles/networksecurity.interceptEndpointAdmin) :
networksecurity.interceptEndpointGroupAssociations.createnetworksecurity.interceptEndpointGroupAssociations.deletenetworksecurity.interceptEndpointGroupAssociations.updatenetworksecurity.interceptEndpointGroupAssociations.getnetworksecurity.interceptEndpointGroupAssociations.listnetworksecurity.interceptEndpointGroups.usecompute.networks.use
Créer une association de groupe de points de terminaison d'interception
Vous pouvez associer un ou plusieurs réseaux VPC à un seul groupe de points de terminaison d'interception.
Dans la section Créer et gérer un groupe de points de terminaison d'interception, vous avez créé un groupe de points de terminaison d'interception pour gérer le trafic intercepté. Toutefois, vous devez également spécifier le trafic des VPC pouvant être inspecté. Pour ce faire, vous devez créer une association de groupe de points de terminaison d'interception au niveau du projet.
Vous devez créer l'association de groupe de points de terminaison d'interception dans le même projet que le réseau VPC.
Console
Dans la console Google Cloud , accédez à la page Groupes de points de terminaison.
Cliquez sur le nom du groupe de points de terminaison.
Dans la section Associations, cliquez sur Créer.
Dans le volet "Créer des associations", cliquez sur Ajouter une association de groupe de points de terminaison.
Pour Projet et Réseau, sélectionnez le projet et le réseau VPC qui hébergent le groupe de déploiement d'interception.
Cliquez sur OK.
Cliquez sur Créer.
gcloud
Pour créer une association de groupe de points de terminaison d'interception, utilisez la commande gcloud
network-security intercept-endpoint-group-associations create :
gcloud network-security intercept-endpoint-group-associations create ENDPOINT_GROUP_ASSOCIATION_ID \
--location global \
--network NETWORK \
--no-async \
--intercept-endpoint-group \
projects/ENDPOINT_GROUP_PROJECT_ID/locations/global/interceptEndpointGroups/ENDPOINT_GROUP_ID
Remplacez les éléments suivants :
ENDPOINT_GROUP_ASSOCIATION_ID: ID de l'association de groupe de points de terminaison d'interception.NETWORK: nom du réseau.ENDPOINT_GROUP_PROJECT_ID: ID du projetGoogle Cloud dans lequel vous avez créé le groupe de points de terminaison d'interception.ENDPOINT_GROUP_ID: ID du groupe de points de terminaison d'interception.
Terraform
Pour créer une association de groupe de points de terminaison d'interception, vous pouvez utiliser une ressource google_network_security_intercept_endpoint_group_association.
Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez Commandes Terraform de base.
Afficher les détails d'une association de point de terminaison d'interception
Vous pouvez afficher les détails d'une association de groupe de points de terminaison d'interception, y compris son nom, son groupe de points de terminaison d'interception, son emplacement et son réseau.
Vous pouvez également afficher les détails de l'association du groupe de points de terminaison d'interception depuis l'onglet Groupes de points de terminaison de la page d'informations du réseau VPC.
Console
Dans la console Google Cloud , accédez à la page Groupes de points de terminaison.
Cliquez sur le nom du groupe de points de terminaison d'interception. La section Associations liste les détails des associations de points de terminaison d'interception.
gcloud
Pour afficher une association de groupe de points de terminaison d'interception, utilisez la commande gcloud
network-security intercept-endpoint-group-associations describe :
gcloud network-security intercept-endpoint-group-associations describe ENDPOINT_GROUP_ASSOCIATION_ID \
--location global
Remplacez ENDPOINT_GROUP_ASSOCIATION_ID par l'ID de l'association du groupe de points de terminaison d'interception.
Dans le résultat, le nom de l'association de point de terminaison d'interception s'affiche au format projects/PROJECT_ID/locations/global/interceptEndpointGroupAssociations/ENDPOINT_GROUP_ASSOCIATION_ID.
Lister les associations de groupes de points de terminaison d'interception
Vous pouvez lister toutes les associations de groupes de points de terminaison d'intercepteur dans un projet, y compris leurs ID.
Console
Dans la console Google Cloud , accédez à la page Groupes de points de terminaison.
Cliquez sur le nom du groupe de points de terminaison d'interception. La section Associations liste toutes les associations de points de terminaison d'interception du groupe de points de terminaison d'interception.
gcloud
Pour répertorier toutes les associations de groupes de points de terminaison d'interception dans un projet, exécutez la commande gcloud network-security intercept-endpoint-group-associations list :
gcloud network-security intercept-endpoint-group-associations list
Supprimer une association de groupe de points de terminaison d'interception
Vous pouvez supprimer une association de groupe de points de terminaison d'interception du groupe de déploiement d'interception.
Console
Dans la console Google Cloud , accédez à la page Groupes de points de terminaison.
Cliquez sur le nom du groupe de points de terminaison d'interception.
Dans la section Associations, sélectionnez l'association de point de terminaison d'interception à supprimer.
Cliquez sur Supprimer.
Cliquez à nouveau sur Supprimer pour confirmer votre choix.
gcloud
Pour supprimer une association de groupe de points de terminaison d'interception, utilisez la commande gcloud
network-security intercept-endpoint-group-associations delete :
gcloud network-security intercept-endpoint-group-associations delete ENDPOINT_GROUP_ASSOCIATION_ID \
--no-async \
--location global
Remplacez ENDPOINT_GROUP_ASSOCIATION_ID par l'ID de l'association du groupe de points de terminaison d'interception.