Un'associazione di gruppi di endpoint di intercettazione è una risorsa globale che collega la rete Virtual Private Cloud di un consumer a un gruppo di endpoint di intercettazione per l'ispezione del traffico. Per ogni rete VPC che richiede l'ispezione del traffico, crei un'associazione di gruppi di endpoint di intercettazione. La rete VPC è pronta per l'ispezione del traffico dopo aver configurato il gruppo di endpoint, l'associazione del gruppo di endpoint e le regole firewall per reindirizzare il traffico.
Dopo aver configurato il gruppo di endpoint e la relativa associazione e aver configurato le regole firewall per reindirizzare il traffico da ispezionare, la rete VPC è pronta per l'ispezione del traffico.
Questa pagina descrive come creare e gestire le associazioni di gruppi di endpoint di intercettazione.
Prima di iniziare
Abilita l' API Compute Engine nel tuo progetto Google Cloud .
Abilita l'API Network Security nel tuo progetto Google Cloud .
Installa gcloud CLI.
Ruoli
Per creare, visualizzare o eliminare le associazioni di gruppi di endpoint di intercettazione, chiedi all'amministratore di concederti i ruoli Identity and Access Management (IAM) necessari per il tuo progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Per controllare l'avanzamento delle operazioni elencate in questa pagina, assicurati che il tuo ruolo utente disponga dei seguenti ruoli e autorizzazioni di amministratore endpoint di intercettazione (roles/networksecurity.interceptEndpointAdmin):
networksecurity.interceptEndpointGroupAssociations.createnetworksecurity.interceptEndpointGroupAssociations.deletenetworksecurity.interceptEndpointGroupAssociations.updatenetworksecurity.interceptEndpointGroupAssociations.getnetworksecurity.interceptEndpointGroupAssociations.listnetworksecurity.interceptEndpointGroups.usecompute.networks.use
Crea un'associazione di gruppi di endpoint di intercettazione
Puoi associare una o più reti VPC a un singolo gruppo di endpoint di intercettazione.
Nella sezione Crea e gestisci gruppo di endpoint di intercettazione, hai creato un gruppo di endpoint di intercettazione per gestire il traffico intercettato. Tuttavia, devi anche specificare il traffico di quali VPC può essere ispezionato. Per farlo, crea un'associazione di gruppi di endpoint di intercettazione a livello di progetto.
Devi creare l'associazione di gruppi di endpoint di intercettazione nello stesso progetto della rete VPC.
Console
Nella console Google Cloud , vai alla pagina Gruppi di endpoint.
Fai clic sul nome del gruppo di endpoint.
Nella sezione Associazioni, fai clic su Crea.
Nel riquadro Crea associazioni, fai clic su Aggiungi associazione di gruppo di endpoint.
Per Progetto e Rete, seleziona il progetto e la rete VPC che ospitano il gruppo di deployment di intercettazione.
Fai clic su Fine.
Fai clic su Crea.
gcloud
Per creare un'associazione di gruppi di endpoint di intercettazione, utilizza il comando
gcloud
network-security intercept-endpoint-group-associations create:
gcloud network-security intercept-endpoint-group-associations create ENDPOINT_GROUP_ASSOCIATION_ID \
--location global \
--network NETWORK \
--no-async \
--intercept-endpoint-group \
projects/ENDPOINT_GROUP_PROJECT_ID/locations/global/interceptEndpointGroups/ENDPOINT_GROUP_ID
Sostituisci quanto segue:
ENDPOINT_GROUP_ASSOCIATION_ID: l'ID dell'associazione del gruppo di endpoint di intercettazione.NETWORK: il nome della rete.ENDPOINT_GROUP_PROJECT_ID: l'ID del progettoGoogle Cloud in cui hai creato il gruppo di endpoint di intercettazione.ENDPOINT_GROUP_ID: l'ID del gruppo di endpoint di intercettazione.
Terraform
Per creare un'associazione di gruppi di endpoint di intercettazione, puoi utilizzare una risorsa google_network_security_intercept_endpoint_group_association.
Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.
Visualizzare i dettagli di un'associazione di endpoint di intercettazione
Puoi visualizzare i dettagli di un'associazione di gruppi di endpoint di intercettazione, tra cui nome, gruppo di endpoint di intercettazione, posizione e rete.
Puoi anche visualizzare i dettagli dell'associazione del gruppo di endpoint di intercettazione dalla scheda Gruppi di endpoint della pagina dei dettagli della rete VPC.
Console
Nella console Google Cloud , vai alla pagina Gruppi di endpoint.
Fai clic sul nome del gruppo di endpoint di intercettazione. La sezione Associazioni elenca i dettagli delle associazioni di endpoint di intercettazione.
gcloud
Per visualizzare un'associazione di gruppi di endpoint di intercettazione, utilizza il comando gcloud
network-security intercept-endpoint-group-associations describe:
gcloud network-security intercept-endpoint-group-associations describe ENDPOINT_GROUP_ASSOCIATION_ID \
--location global
Sostituisci ENDPOINT_GROUP_ASSOCIATION_ID con l'ID dell'associazione di gruppo di endpoint di intercettazione.
Nell'output, il nome dell'associazione dell'endpoint di intercettazione viene visualizzato
nel formato
projects/PROJECT_ID/locations/global/interceptEndpointGroupAssociations/ENDPOINT_GROUP_ASSOCIATION_ID.
Elenca le associazioni dei gruppi di endpoint di intercettazione
Puoi elencare tutte le associazioni di gruppi di endpoint di intercettazione in un progetto, inclusi i relativi ID.
Console
Nella console Google Cloud , vai alla pagina Gruppi di endpoint.
Fai clic sul nome del gruppo di endpoint di intercettazione. La sezione Associazioni elenca tutte le associazioni di endpoint di intercettazione del gruppo di endpoint di intercettazione.
gcloud
Per elencare tutte le associazioni di gruppi di endpoint di intercettazione in un progetto, utilizza il comando gcloud network-security intercept-endpoint-group-associations list:
gcloud network-security intercept-endpoint-group-associations list
Elimina un'associazione di gruppi di endpoint di intercettazione
Puoi eliminare un'associazione di gruppi di endpoint di intercettazione del gruppo di deployment di intercettazione.
Console
Nella console Google Cloud , vai alla pagina Gruppi di endpoint.
Fai clic sul nome del gruppo di endpoint di intercettazione.
Nella sezione Associazioni, seleziona l'associazione dell'endpoint di intercettazione da eliminare.
Fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un'associazione di gruppi di endpoint di intercettazione, utilizza il comando gcloud
network-security intercept-endpoint-group-associations delete:
gcloud network-security intercept-endpoint-group-associations delete ENDPOINT_GROUP_ASSOCIATION_ID \
--no-async \
--location global
Sostituisci ENDPOINT_GROUP_ASSOCIATION_ID con l'ID dell'associazione di gruppo di endpoint di intercettazione.