Intercept-Endpunktgruppen-Verknüpfungen erstellen und verwalten

Eine Intercept-Endpunktgruppen-Verknüpfung ist eine globale Ressource, die das VPC-Netzwerk (Virtual Private Cloud) eines Nutzers mit einer Intercept-Endpunktgruppe für die Traffic-Prüfung verknüpft. Für jedes VPC-Netzwerk, für das eine Traffic-Prüfung erforderlich ist, erstellen Sie eine Intercept-Endpunktgruppenverknüpfung. Das VPC-Netzwerk ist für die Traffic-Prüfung bereit, nachdem Sie die Endpunktgruppe, die Endpunktgruppenverknüpfung und die Firewallregeln zum Weiterleiten des Traffics konfiguriert haben.

Nachdem Sie die Endpunktgruppe und die Endpunktgruppenverknüpfung konfiguriert und die Firewallregeln so konfiguriert haben, dass der zu prüfende Traffic umgeleitet wird, ist das VPC-Netzwerk für die Traffic-Prüfung bereit.

Auf dieser Seite wird beschrieben, wie Sie Zuordnungen von Abfangendpunktgruppen erstellen und verwalten.

Hinweise

Rollen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen (Identity and Access Management) für Ihr Projekt zuzuweisen, damit Sie Abfangendpunktgruppenverknüpfungen erstellen, aufrufen oder löschen können. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Um den Fortschritt der auf dieser Seite aufgeführten Vorgänge zu prüfen, muss Ihrer Nutzerrolle die folgenden Rollen und Berechtigungen des Administrators für Abfangendpunkte (roles/networksecurity.interceptEndpointAdmin) zugewiesen sein:

  • networksecurity.interceptEndpointGroupAssociations.create
  • networksecurity.interceptEndpointGroupAssociations.delete
  • networksecurity.interceptEndpointGroupAssociations.update
  • networksecurity.interceptEndpointGroupAssociations.get
  • networksecurity.interceptEndpointGroupAssociations.list
  • networksecurity.interceptEndpointGroups.use
  • compute.networks.use

Abfang-Endpunktgruppenverknüpfung erstellen

Sie können einer einzelnen Abfangendpunktgruppe ein oder mehrere VPC-Netzwerke zuordnen.

Im Abschnitt Abfangendpunktgruppe erstellen und verwalten haben Sie eine Abfangendpunktgruppe erstellt, um den abgefangenen Traffic zu verarbeiten. Sie müssen jedoch auch angeben, für welche VPCs der Traffic geprüft werden kann. Dazu erstellen Sie eine Zuordnung auf Projektebene für die Abfang-Endpunktgruppe.

Sie müssen die Abfangendpunktgruppen-Zuordnung im selben Projekt wie das VPC-Netzwerk erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Endpunktgruppen auf.

    Zu den Endpunktgruppen

  2. Klicken Sie auf den Namen der Endpunktgruppe.

  3. Klicken Sie im Bereich Associations (Verknüpfungen) auf Create (Erstellen).

  4. Klicken Sie im Bereich „Verknüpfungen erstellen“ auf Endpunktgruppen-Verknüpfung hinzufügen.

  5. Wählen Sie für Projekt und Netzwerk das Projekt und das VPC-Netzwerk aus, in dem die Abfangbereitstellungsgruppe gehostet wird.

  6. Klicken Sie auf Fertig.

  7. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie den gcloud network-security intercept-endpoint-group-associations create-Befehl, um eine Verknüpfung mit einer Abfangendpunktgruppe zu erstellen:

gcloud network-security intercept-endpoint-group-associations create ENDPOINT_GROUP_ASSOCIATION_ID \
    --location global \
    --network NETWORK \
    --no-async \
    --intercept-endpoint-group \
        projects/ENDPOINT_GROUP_PROJECT_ID/locations/global/interceptEndpointGroups/ENDPOINT_GROUP_ID

Ersetzen Sie Folgendes:

  • ENDPOINT_GROUP_ASSOCIATION_ID: die ID der Intercept-Endpunktgruppenverknüpfung.
  • NETWORK: Der Name des Netzwerks.
  • ENDPOINT_GROUP_PROJECT_ID: die ID desGoogle Cloud -Projekts, in dem Sie die Gruppe mit den Abfangendpunkten erstellt haben.
  • ENDPOINT_GROUP_ID: Die ID der Intercept-Endpunktgruppe.

Terraform

Zum Erstellen einer Intercept-Endpunktgruppenverknüpfung können Sie eine google_network_security_intercept_endpoint_group_association-Ressource verwenden.

resource "google_network_security_intercept_endpoint_group_association" "default" {
  intercept_endpoint_group_association_id = "intercept-endpoint-group-association"
  location                                = "global"
  network                                 = google_compute_network.consumer_network.id
  intercept_endpoint_group                = google_network_security_intercept_endpoint_group.default.id
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Details einer Intercept-Endpunktverknüpfung ansehen

Sie können die Details einer Zuordnung von Abfangendpunktgruppen aufrufen, einschließlich Name, Abfangendpunktgruppe, Standort und Netzwerk.

Sie können die Details der Zuordnung von Abfang-Endpunktgruppen auch auf der Seite mit den VPC-Netzwerk auf dem Tab Endpunktgruppen aufrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Endpunktgruppen auf.

    Zu den Endpunktgruppen

  2. Klicken Sie auf den Namen der Gruppe mit Abfangendpunkten. Im Abschnitt Verknüpfungen werden die Details der Abfangendpunktverknüpfungen aufgeführt.

gcloud

Verwenden Sie den gcloud network-security intercept-endpoint-group-associations describe-Befehl, um eine Zuordnung einer Abfangendpunktgruppe aufzurufen:

gcloud network-security intercept-endpoint-group-associations describe ENDPOINT_GROUP_ASSOCIATION_ID \
    --location global

Ersetzen Sie ENDPOINT_GROUP_ASSOCIATION_ID durch die ID der Zuordnung der Abfangendpunktgruppe.

In der Ausgabe wird der Name der Zuordnung des Abfangendpunkts im Format projects/PROJECT_ID/locations/global/interceptEndpointGroupAssociations/ENDPOINT_GROUP_ASSOCIATION_ID angezeigt.

Verknüpfungen von Abfangendpunktgruppen auflisten

Sie können alle Interceptor-Endpunktgruppenverknüpfungen in einem Projekt auflisten, einschließlich ihrer IDs.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Endpunktgruppen auf.

    Zu den Endpunktgruppen

  2. Klicken Sie auf den Namen der Gruppe mit Abfangendpunkten. Im Abschnitt Verknüpfungen werden alle Abfang-Endpunktverknüpfungen der Abfang-Endpunktgruppe aufgeführt.

gcloud

Verwenden Sie den Befehl gcloud network-security intercept-endpoint-group-associations list, um alle Verknüpfungen von Abfangendpunktgruppen in einem Projekt aufzulisten:

gcloud network-security intercept-endpoint-group-associations list

Verknüpfung einer Abfang-Endpunktgruppe löschen

Sie können eine Abfang-Endpunktgruppenverknüpfung der Abfang-Bereitstellungsgruppe löschen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Endpunktgruppen auf.

    Zu den Endpunktgruppen

  2. Klicken Sie auf den Namen der Gruppe mit Abfangendpunkten.

  3. Wählen Sie im Abschnitt Verknüpfungen die zu löschende Verknüpfung des Abfangendpunkts aus.

  4. Klicken Sie auf Löschen.

  5. Klicken Sie zur Bestätigung noch einmal auf Löschen.

gcloud

Verwenden Sie den gcloud network-security intercept-endpoint-group-associations delete-Befehl, um eine Zuordnung von Abfangendpunktgruppen zu löschen:

gcloud network-security intercept-endpoint-group-associations delete ENDPOINT_GROUP_ASSOCIATION_ID \
    --no-async \
    --location global

Ersetzen Sie ENDPOINT_GROUP_ASSOCIATION_ID durch die ID der Zuordnung der Abfangendpunktgruppe.