建立及管理攔截端點群組關聯

截取端點群組關聯是全域資源,可將消費者的虛擬私有雲網路連結至截取端點群組,以檢查流量。針對需要流量檢查的每個虛擬私有雲網路,您會建立攔截端點群組關聯。設定端點群組、端點群組關聯和防火牆規則來重新導向流量後,即可檢查虛擬私有雲網路的流量。

設定端點群組和端點群組關聯,並設定防火牆規則,將流量重新導向以供檢查後,即可對虛擬私有雲網路進行流量檢查。

本頁說明如何建立及管理攔截端點群組關聯。

事前準備

角色

如要建立、查看或刪除攔截端點群組關聯,請要求管理員授予您專案的必要身分與存取權管理 (IAM) 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

如要查看這個頁面所列作業的進度,請確認您的使用者角色具備下列 Intercept Endpoint 管理員 (roles/networksecurity.interceptEndpointAdmin) 角色和權限:

  • networksecurity.interceptEndpointGroupAssociations.create
  • networksecurity.interceptEndpointGroupAssociations.delete
  • networksecurity.interceptEndpointGroupAssociations.update
  • networksecurity.interceptEndpointGroupAssociations.get
  • networksecurity.interceptEndpointGroupAssociations.list
  • networksecurity.interceptEndpointGroups.use
  • compute.networks.use

建立攔截端點群組關聯

您可以將一或多個虛擬私有雲網路與單一攔截端點群組建立關聯。

在「建立及管理攔截端點群組」部分,您已建立攔截端點群組來處理攔截的流量。不過,您也必須指定可檢查哪些 VPC 的流量。如要這麼做,請建立專案層級的攔截端點群組關聯。

您必須在與虛擬私有雲網路相同的專案中,建立攔截端點群組關聯。

控制台

  1. 前往 Google Cloud 控制台的「Endpoint groups」(端點群組) 頁面。

    前往端點群組

  2. 按一下端點群組名稱。

  3. 在「關聯」部分,按一下「建立」

  4. 在「建立關聯」窗格中,按一下「新增端點群組關聯」

  5. 在「Project」(專案) 和「Network」(網路) 中,選取代管攔截部署群組的專案和虛擬私有雲網路。

  6. 按一下 [完成]

  7. 點選「建立」

gcloud

如要建立攔截端點群組關聯,請使用 gcloud network-security intercept-endpoint-group-associations create 指令

gcloud network-security intercept-endpoint-group-associations create ENDPOINT_GROUP_ASSOCIATION_ID \
    --location global \
    --network NETWORK \
    --no-async \
    --intercept-endpoint-group \
        projects/ENDPOINT_GROUP_PROJECT_ID/locations/global/interceptEndpointGroups/ENDPOINT_GROUP_ID

更改下列內容:

  • ENDPOINT_GROUP_ASSOCIATION_ID:攔截端點群組關聯的 ID。
  • NETWORK:網路名稱。
  • ENDPOINT_GROUP_PROJECT_ID:您建立攔截端點群組的Google Cloud 專案 ID。
  • ENDPOINT_GROUP_ID:攔截端點群組的 ID。

Terraform

如要建立攔截端點群組關聯,可以使用 google_network_security_intercept_endpoint_group_association 資源

resource "google_network_security_intercept_endpoint_group_association" "default" {
  intercept_endpoint_group_association_id = "intercept-endpoint-group-association"
  location                                = "global"
  network                                 = google_compute_network.consumer_network.id
  intercept_endpoint_group                = google_network_security_intercept_endpoint_group.default.id
}

如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。

查看攔截端點關聯的詳細資料

您可以查看攔截端點群組關聯的詳細資料,包括名稱、攔截端點群組、位置和網路。

您也可以前往 VPC 網路的詳細資料頁面,然後點選「端點群組」分頁,查看攔截端點群組關聯的詳細資料。

控制台

  1. 前往 Google Cloud 控制台的「Endpoint groups」(端點群組) 頁面。

    前往端點群組

  2. 按一下攔截端點群組的名稱。「關聯」部分會列出攔截端點關聯的詳細資料。

gcloud

如要查看攔截端點群組關聯,請使用 gcloud network-security intercept-endpoint-group-associations describe 指令

gcloud network-security intercept-endpoint-group-associations describe ENDPOINT_GROUP_ASSOCIATION_ID \
    --location global

ENDPOINT_GROUP_ASSOCIATION_ID 替換為攔截端點群組關聯的 ID。

輸出內容會以 projects/PROJECT_ID/locations/global/interceptEndpointGroupAssociations/ENDPOINT_GROUP_ASSOCIATION_ID 格式顯示攔截端點關聯的名稱。

列出攔截端點群組關聯

您可以列出專案中的所有攔截器端點群組關聯,包括 ID。

控制台

  1. 前往 Google Cloud 控制台的「Endpoint groups」(端點群組) 頁面。

    前往端點群組

  2. 按一下攔截端點群組的名稱。「關聯」部分會列出攔截端點群組的所有攔截端點關聯。

gcloud

如要列出專案中的所有攔截端點群組關聯,請使用 gcloud network-security intercept-endpoint-group-associations list 指令

gcloud network-security intercept-endpoint-group-associations list

刪除攔截端點群組關聯

您可以刪除攔截部署項目群組的攔截端點群組關聯。

控制台

  1. 前往 Google Cloud 控制台的「Endpoint groups」(端點群組) 頁面。

    前往端點群組

  2. 按一下攔截端點群組的名稱。

  3. 在「關聯」部分,選取要刪除的攔截端點關聯。

  4. 點選「刪除」。

  5. 再按一下 [刪除] 加以確認。

gcloud

如要刪除攔截端點群組關聯,請使用 gcloud network-security intercept-endpoint-group-associations delete 指令

gcloud network-security intercept-endpoint-group-associations delete ENDPOINT_GROUP_ASSOCIATION_ID \
    --no-async \
    --location global

ENDPOINT_GROUP_ASSOCIATION_ID 替換為攔截端點群組關聯的 ID。