Criar e gerenciar associações de grupos de endpoints de interceptação

Uma associação de grupo de endpoints de interceptação é um recurso global que vincula a rede de nuvem privada virtual de um consumidor a um grupo de endpoints de interceptação para inspeção de tráfego. Para cada rede VPC que exige inspeção de tráfego, crie uma associação de grupo de endpoints de interceptação. A rede VPC está pronta para inspeção de tráfego depois que você configura o grupo de endpoints, a associação de grupo de endpoints e as regras de firewall para redirecionar o tráfego.

Depois de configurar o grupo de endpoints e a associação de grupo de endpoints, e configurar as regras de firewall para redirecionar o tráfego a ser inspecionado, a rede VPC estará pronta para a inspeção de tráfego.

Nesta página, descrevemos como criar e gerenciar associações de grupos de endpoints de interceptação.

Antes de começar

Papéis

Para criar, visualizar ou excluir associações de grupos de endpoints de interceptação, peça ao administrador para conceder a você os papéis do Identity and Access Management (IAM) necessários no seu projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Para verificar o progresso das operações listadas nesta página, confira se sua função do usuário tem os seguintes papéis e permissões de administrador do endpoint de interceptação (roles/networksecurity.interceptEndpointAdmin):

  • networksecurity.interceptEndpointGroupAssociations.create
  • networksecurity.interceptEndpointGroupAssociations.delete
  • networksecurity.interceptEndpointGroupAssociations.update
  • networksecurity.interceptEndpointGroupAssociations.get
  • networksecurity.interceptEndpointGroupAssociations.list
  • networksecurity.interceptEndpointGroups.use
  • compute.networks.use

Criar uma associação de grupo de endpoints de interceptação

É possível associar uma ou mais redes VPC a um único grupo de endpoints de interceptação.

Na seção criar e gerenciar grupo de endpoints de interceptação, você criou um grupo de endpoints de interceptação para processar o tráfego interceptado. No entanto, você também precisa especificar o tráfego de quais VPCs pode ser inspecionado. Para fazer isso, crie uma associação de grupo de endpoints de interceptação no nível do projeto.

Crie a associação de grupo de endpoints de interceptação no mesmo projeto da rede VPC.

Console

  1. No console do Google Cloud , acesse a página Grupos de endpoints.

    Acessar "Grupos de endpoints"

  2. Clique no nome do grupo de endpoints.

  3. Na seção Associações, clique em Criar.

  4. No painel "Criar associações", clique em Adicionar associação de grupo de endpoints.

  5. Em Projeto e Rede, selecione o projeto e a rede VPC que hospedam o grupo de implantação de interceptação.

  6. Clique em Concluído.

  7. Clique em Criar.

gcloud

Para criar uma associação de grupo de endpoints de interceptação, use o comando gcloud network-security intercept-endpoint-group-associations create:

gcloud network-security intercept-endpoint-group-associations create ENDPOINT_GROUP_ASSOCIATION_ID \
    --location global \
    --network NETWORK \
    --no-async \
    --intercept-endpoint-group \
        projects/ENDPOINT_GROUP_PROJECT_ID/locations/global/interceptEndpointGroups/ENDPOINT_GROUP_ID

Substitua:

  • ENDPOINT_GROUP_ASSOCIATION_ID: o ID da associação do grupo de endpoints de interceptação.
  • NETWORK: o nome da rede.
  • ENDPOINT_GROUP_PROJECT_ID: o ID do projetoGoogle Cloud em que você criou o grupo de endpoints de interceptação.
  • ENDPOINT_GROUP_ID: o ID do grupo de endpoints de interceptação.

Terraform

Para criar uma associação de grupo de endpoints de interceptação, use um recurso google_network_security_intercept_endpoint_group_association.

resource "google_network_security_intercept_endpoint_group_association" "default" {
  intercept_endpoint_group_association_id = "intercept-endpoint-group-association"
  location                                = "global"
  network                                 = google_compute_network.consumer_network.id
  intercept_endpoint_group                = google_network_security_intercept_endpoint_group.default.id
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

Ver detalhes de uma associação de endpoint de interceptação

É possível conferir os detalhes de uma associação de grupo de endpoints de interceptação, incluindo nome, grupo de endpoints de interceptação, local e rede.

Também é possível conferir os detalhes da associação do grupo de endpoints de interceptação na guia Grupos de endpoints da página de detalhes da rede VPC.

Console

  1. No console do Google Cloud , acesse a página Grupos de endpoints.

    Acessar "Grupos de endpoints"

  2. Clique no nome do grupo de endpoints de interceptação. A seção Associações lista os detalhes das associações de endpoints de interceptação.

gcloud

Para conferir uma associação de grupo de endpoints de interceptação, use o comando gcloud network-security intercept-endpoint-group-associations describe:

gcloud network-security intercept-endpoint-group-associations describe ENDPOINT_GROUP_ASSOCIATION_ID \
    --location global

Substitua ENDPOINT_GROUP_ASSOCIATION_ID pelo ID da associação do grupo de endpoints de interceptação.

Na saída, o nome da associação de endpoint de interceptação é mostrado no formato projects/PROJECT_ID/locations/global/interceptEndpointGroupAssociations/ENDPOINT_GROUP_ASSOCIATION_ID.

Listar associações de grupos de endpoints de interceptação

É possível listar todas as associações de grupos de endpoints de interceptores em um projeto, incluindo os IDs.

Console

  1. No console do Google Cloud , acesse a página Grupos de endpoints.

    Acessar "Grupos de endpoints"

  2. Clique no nome do grupo de endpoints de interceptação. A seção Associações lista todas as associações de endpoints de interceptação do grupo de endpoints de interceptação.

gcloud

Para listar todas as associações de grupos de endpoints de interceptação em um projeto, use o comando gcloud network-security intercept-endpoint-group-associations list:

gcloud network-security intercept-endpoint-group-associations list

Excluir uma associação de grupo de endpoints de interceptação

É possível excluir uma associação de grupo de endpoints de interceptação do grupo de implantação de interceptação.

Console

  1. No console do Google Cloud , acesse a página Grupos de endpoints.

    Acessar "Grupos de endpoints"

  2. Clique no nome do grupo de endpoints de interceptação.

  3. Na seção Associações, selecione a associação de endpoint de interceptação que você quer excluir.

  4. Clique em Excluir.

  5. Clique em Excluir novamente para confirmar.

gcloud

Para excluir uma associação de grupo de endpoints de interceptação, use o comando gcloud network-security intercept-endpoint-group-associations delete:

gcloud network-security intercept-endpoint-group-associations delete ENDPOINT_GROUP_ASSOCIATION_ID \
    --no-async \
    --location global

Substitua ENDPOINT_GROUP_ASSOCIATION_ID pelo ID da associação do grupo de endpoints de interceptação.